- Pagină de pornire
- /
- Articol
Acest articol de ajutor este pentru telefonul wireless Cisco 9821 înregistrat la Cisco Unified Communications Manager (Unified CM).
Puteți activa Cisco Unified Communications Manager (Unified CM) pentru a opera într-un mediu de securitate îmbunătățit. Prin aceste îmbunătățiri, rețeaua dvs. de telefonie funcționează sub un set de controale stricte de securitate și gestionare a riscurilor, pentru a vă proteja pe dvs. și pe utilizatorii dvs.
Mediul cu securitate îmbunătățită include următoarele caracteristici:
-
Autentificarea căutării persoanelor de contact
-
TCP ca protocol implicit pentru înregistrarea în jurnal a auditului la distanță
-
O politică de acreditare îmbunătățită
-
Suport pentru familia SHA-2 de coduri hash pentru semnături digitale
-
Suport pentru o dimensiune a cheii RSA de până la 4096 biți
Cu Cisco Unified CM Versiunea 14.0 sau o versiune ulterioară, telefoanele acceptă autentificarea SIP OAuth.
OAuth este acceptat pentru Proxy Trivial File Transfer Protocol (TFTP) cu Cisco Unified CM Release 14.0 (1) SU1 sau o versiune ulterioară.
Pentru informații suplimentare despre securitate, consultați următoarele ghiduri:
-
Ghid de configurare a sistemului pentru Cisco Unified Communications Manager, versiunea 15 și SU-uri
-
Ghid de securitate pentru Cisco Unified Communications Manager, versiunea 15 și SUs
Telefonul dvs. poate stoca doar un număr limitat de fișiere listă de identități de încredere (ITL). Fișierele ITL nu pot depăși 64K pe telefon, deci limitați numărul de fișiere pe care Cisco Unified CM le trimite pe telefon.
Caracteristicile de securitate acceptate
Caracteristicile de securitate protejează împotriva amenințărilor, inclusiv a amenințărilor la adresa identității telefonului și a datelor. Aceste caracteristici stabilesc și întrețin fluxuri de comunicare autentificate între telefon și serverul Cisco Unified Communications Manager și garantează faptul că telefonul utilizează numai fișiere semnate digital.
Cisco Unified Communications Manager versiunea 8.5(1) și versiuni mai recente includ securitate în mod prestabilit, care oferă următoarele caracteristici de securitate pentru telefoanele Cisco IP, fără să ruleze clientul CTL:
-
Semnarea fișierelor de configurare a telefonului
-
Criptarea fișierelor de configurare a telefonului
-
HTTPS cu Tomcat și alte servicii web
Caracteristicile securizate de semnalizare și media vă cer în continuare să rulați clientul CTL și să utilizați hardware-ul eTokens.
Implementarea securității în sistemul Cisco Unified Communications Manager previne furtul de identitate al telefonului și al serverului Cisco Unified Communications Manager, previne falsificarea datelor și previne falsificarea semnalizărilor apelurilor și a fluxului media.
Pentru a atenua aceste amenințări, rețeaua de telefonie Cisco IP stabilește și întreține fluxuri de comunicație securizate (criptate) între un telefon și server, semnează digital fișierele înainte de a fi transferate pe un telefon și criptează fluxurile media și semnalizarea apelurilor dintre telefoanele Cisco IP.
Un certificat semnificativ la nivel local (LSC) se instalează pe telefoane după ce efectuați sarcinile necesare, asociate cu Proxy Certificate Authority Function (CAPF). Puteți utiliza Cisco Unified Communications Manager Administration pentru a configura un LSC, așa cum este descris în Ghidul de securitate Cisco Unified Communications Manager. Alternativ, puteți iniția instalarea unui LSC din meniul Securitate de pe telefon. De asemenea, acest meniu vă permite să actualizați sau să eliminați un LSC.
Telefoanele utilizează profilul de securitate al telefonului, care definește dacă dispozitivul este nesecurizat sau securizat. Pentru informații despre aplicarea profilului de securitate pe telefon, consultați documentația pentru versiunea dvs. specifică Cisco Unified Communications Manager.
Când configurați setările legate de securitate în Administrare Cisco Unified Communications Manager, fișierul de configurare a telefonului conține informații confidențiale. Pentru a asigura confidențialitatea unui fișier de configurare, trebuie să-l configurați pentru criptare. Pentru informații detaliate, consultați documentația pentru versiunea dvs. specifică Cisco Unified Communications Manager.
Următorul tabel oferă o prezentare generală a caracteristicilor de securitate pe care le acceptă telefoanele. Pentru informații suplimentare, consultați documentația versiunii dvs. Cisco Unified Communications Manager.
|
Caracteristică |
Descriere |
|---|---|
|
Autentificarea pentru imagini |
Fișierele binare semnate previn falsificarea imaginii firmware-ului înainte ca imaginea să fie încărcată pe un telefon. Falsificarea imaginii determină eșecul procesului de autentificare al unui telefon și respingerea noii imagini. |
|
Instalarea certificatelor la sediul clientului |
Fiecare telefon Cisco IP necesită un certificat unic pentru autentificarea dispozitivului. Telefoanele includ un certificat de fabricație instalat (MIC), dar, pentru securitate suplimentară, puteți specifica instalarea certificatului în Administrare Cisco Unified Communications Manager, utilizând Certificate Authority Proxy Function (CAPF). Alternativ, puteți instala un Locally Significant Certificate (LSC) din meniul Securitate de pe telefon. |
|
Autentificarea dispozitivelor |
Are loc între serverul Cisco Unified Communications Manager și telefon atunci când fiecare entitate acceptă certificatul celeilalte entități. Stabilește dacă trebuie să aibă loc o conexiune securizată între telefon și un Cisco Unified Communications Manager și, dacă este necesar, creează o cale de semnalizare securizată între entități, prin utilizarea protocolului TLS. Cisco Unified Communications Manager nu înregistrează telefoanele decât dacă le poate autentifica. |
|
Autentificarea pentru fișiere |
Validează fișierele semnate digital, pe care le descarcă telefonul. Telefonul validează semnătura, pentru a se asigura că nu a avut loc falsificarea fișierelor după crearea fișierelor. Fișierele a căror autentificare eșuează nu sunt scrise în memoria flash de pe telefon. Telefonul respinge astfel de fișiere, fără procesare suplimentară. |
|
Criptarea fișierelor |
Criptarea împiedică dezvăluirea informațiilor confidențiale în timp ce fișierul este în tranzit către telefon. În plus, telefonul validează semnătura, pentru a se asigura că nu a avut loc falsificarea fișierelor după crearea fișierelor. Fișierele a căror autentificare eșuează nu sunt scrise în memoria flash de pe telefon. Telefonul respinge astfel de fișiere, fără procesare suplimentară. |
|
Autentificarea pentru semnalizare |
Utilizează protocolul TLS pentru a valida faptul că nu a avut loc nicio falsificare a pachetelor de semnalizare în timpul transmisiei. |
|
Certificatul de fabricație instalat |
Fiecare telefon Cisco IP conține un certificat unic de fabricație instalat (MIC), care este utilizat pentru autentificarea dispozitivului. MIC oferă dovada permanentă unică a identității pentru telefon și permite Cisco Unified Communications Manager să autentifice telefonul. |
|
Criptarea media |
Utilizează SRTP pentru a garanta faptul că fluxurile media dintre dispozitivele acceptate se dovedesc securizate și că numai dispozitivul vizat primește și citește datele. Include crearea unei perechi de chei primare media pentru dispozitive, livrarea cheilor către dispozitive și asigurarea livrării cheilor în timp ce cheile sunt în curs de a fi transportate. |
|
CAPF (Certificate Authority Proxy Function) |
Implementează părți din procedura de generare a certificatelor, care sunt prea de intensive pentru procesare pe telefon, și interacționează cu telefonul pentru generarea cheilor și instalarea certificatelor. CAPF poate fi configurată să solicite certificate de la autoritățile de certificate specificate de client în numele telefonului sau poate fi configurată să genereze certificate la nivel local. Ambele tipuri de taste EC (curbă eliptică) și RSA sunt acceptate. Pentru a utiliza cheia EC, asigurați-vă că parametrul "Endpoint Advanced Encryption Algorithms Support" (din Enterprise) este activat. Pentru mai multe informații despre CAPF și configurațiile asociate, consultați următoarele documente: |
|
Profilul de securitate |
Definește dacă telefonul este nesecurizat, autentificat, criptat sau protejat. Alte intrări din acest tabel descriu caracteristicile de securitate. |
|
Fișierele de configurare criptate |
Vă permite să asigurați confidențialitatea fișierelor de configurare a telefonului. |
|
Dezactivarea opțională a serverului web pentru un telefon |
Din motive de securitate, puteți împiedica accesul la paginile web pentru un telefon (care afișează diverse statistici operaționale pentru telefon) și pentru Self Care Portal. |
|
Consolidarea telefoanelor |
Opțiunile suplimentare de securitate, pe care le controlați din Administrare Cisco Unified Communications Manager:
|
|
Securizarea reluării în caz de nereuşită SIP pentru SRST |
După ce configurați o referință Survivable Remote Site Telephony (SRST) pentru securitate, apoi resetați dispozitivele dependente în Administrare Cisco Unified Communications Manager, serverul TFTP adaugă certificatul SRST la fișierul cnf.xml al telefonului și trimite fișierul către telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu routerul activat pentru SRST. |
|
Criptarea semnalizării |
Garantează faptul că toate mesajele de semnalizare SIP care sunt trimise între dispozitiv și serverul Cisco Unified Communications Manager sunt criptate. |
|
Alarmă pentru actualizarea listei de încredere |
Când lista de încredere se actualizează pe telefon, Cisco Unified Communications Manager primește o alarmă pentru a indica reușita sau eșecul actualizării. Pentru mai multe informații, consultați următorul tabel. |
|
Criptarea AES 256 |
Când este conectat la Cisco Unified Communications Manager versiunea 10.5(2) și versiuni mai recente, telefoanele acceptă criptare AES 256 pentru TLS și SIP, pentru semnalizare și criptarea media. Acest lucru permite telefoanelor să inițieze și să accepte conexiuni TLS 1.2 folosind cifruri bazate pe AES-256, care respectă standardele SHA-2 (Secure Hash Algoritm) și sunt conforme cu Federal Information Processing Standards (FIPS). Cifrurile includ:
Pentru informații suplimentare, consultați documentația platformei Cisco Unified Communications Manager. |
|
Certificate Elliptic Curve Digital Signature Algorithm (ECDSA) |
Ca parte din certificarea cu criterii comune (CC), Cisco Unified Communications Manager a adăugat certificate ECDSA în versiunea 11.0. Acest lucru afectează toate produsele cu sistem de operare vocal (VOS), care rulează CUCM 11.5 și versiuni mai recente. |
|
Certificat Tomcat multi-server (SAN) cu Cisco UCM | Telefonul acceptă Cisco UCM cu certificate Tomcat multi-server (SAN) configurate. Adresa corectă a serverului TFTP poate fi găsită în fișierul ITL al telefonului pentru înregistrarea telefonului. Pentru mai multe informații despre caracteristică, consultați următoarele: |
Următorul tabel conține mesajele de alarmă pentru actualizarea listei de încredere și semnificația. Pentru informații suplimentare, consultați documentația platformei Cisco Unified Communications Manager.
| Cod și mesaj | Descriere |
|---|---|
|
1 - TL_SUCCESS |
S-au primit CTL și/sau ITL noi |
|
2 - CTL_INITIAL_SUCCESS |
S-a primit CTL nou, nu există TL |
|
3 - ITL_INITIAL_SUCCESS |
S-a primit ITL nou, nu există TL |
|
4 - TL_INITIAL_SUCCESS |
S-au primit CTL și ITL noi, nu există TL |
|
5 - TL_FAILED_OLD_CTL |
Actualizarea noului CTL nu a reușit, dar are TL anterioară |
|
6 - TL_FAILED_NO_TL |
Actualizarea noii TL nu a reușit și nu are TL veche |
|
7 - TL_FAILED |
Eroare generică |
|
8 - TL_FAILED_OLD_ITL |
Actualizarea noului ITL nu a reușit, dar are TL anterioară |
|
9 - TL_FAILED_OLD_TL |
Actualizarea noii TL nu a reușit, dar are TL anterioară |
Securitatea apelurilor telefonice
Când este implementată securitatea pentru un telefon, puteți să identificați apelurile telefonice securizate prin pictograme de pe ecranul telefonului. De asemenea, puteți determina dacă telefonul conectat este securizat și protejat dacă un ton de securitate este redat la începutul apelului.
Într-un apel securizat, toate fluxurile de semnalizare a apelurilor și fluxurile media sunt criptate. Un apel securizat oferă un nivel înalt de securitate, asigurând integritatea și confidențialitatea apelului. Atunci când un apel în curs este criptat, puteți vedea pictograma securizată
Pe linie.
-
Dacă apelul este direcționat prin intermediul porțiunilor de apel non-IP, de exemplu PSTN, apelul poate fi nesecurizat, chiar dacă este criptat în cadrul rețelei IP și are o pictogramă de blocare asociată.
-
Apelarea securizată este acceptată numai pentru conexiunile dintre două telefoane. Unele caracteristici, cum ar fi apelurile în conferință și liniile partajate, nu sunt disponibile când este configurată apelarea securizată.
În Cisco Unified Communications Manager, telefoanelor configurate ca sigure (criptate și de încredere) li se poate atribui un statut protejat. Odată protejate, aceste dispozitive pot fi configurate pentru a reda un ton de securitate la începutul fiecărui apel.
-
Dispozitiv protejat:
Pentru a schimba starea unui telefon securizat la protejat:
- În Cisco Unified Communications Manager Administration, selectați .
- Localizați telefonul pe care îl veți configura.
- În fereastra Configurare telefon, bifați caseta de selectare Dispozitiv protejat.
- Faceți clic pe Salvare.
-
Redați tonul indicator sigur:
Pentru a permite telefonului protejat să redea un ton de indicare sigur sau nesecurizat:
- În Cisco Unified Communications Manager Administration, selectați serviciu.
- Selectați serverul și apoi serviciul Cisco CallManager .
- În zona Parametri la nivel de cluster (caracteristică - ton securizat), setați tonul de redare la Indicați starea apelului securizat/nesecurizat la adevărat.
- Faceți clic pe Salvare.
Identificare securizată a apelurilor de conferință
Puteți să inițiați un apel în conferință securizat și să monitorizați nivelul de securitate al participanților. Un apel în conferință securizat este stabilit prin utilizarea acestui proces:
-
Un utilizator inițiază conferința de pe un telefon securizat.
-
Cisco Unified Communications Manager atribuie apelului o punte de conferință securizată.
-
În timp ce sunt adăugați participanții, Cisco Unified Communications Manager verifică modul securizat al fiecărui telefon și menține nivelul securizat al conferinței.
-
Telefonul afișează nivelul de securitate al apelului în conferință. O conferință securizată afișează pictograma securizată
.
Apelarea securizată este acceptată între două telefoane. Pentru telefoanele protejate, unele caracteristici, cum ar fi apelarea în conferință, liniile partajate și Extension Mobility, nu sunt disponibile când este configurată apelarea securizată.
Următorul tabel oferă informații despre modificările nivelurilor de securitate ale conferințelor, în funcție de nivelul de securitate al telefonului inițiator, de nivelurile de securitate ale participanților și de disponibilitatea punților de conferințe securizate.
|
Nivel de securitate al telefonului inițiator |
Caracteristică utilizată |
Nivel de securitate al participanților |
Rezultatele acțiunii |
|---|---|---|---|
|
Nesecurizat |
Conferinţă |
Securizat |
Punte de conferință nesecurizată Conferință nesecurizată |
|
Securizat |
Conferinţă |
Cel puțin un membru este nesecurizat. |
Punte de conferință securizată Conferință nesecurizată |
|
Securizat |
Conferinţă |
Securizat |
Punte de conferință securizată Conferință cu nivel criptat securizată |
|
Nesecurizat |
Meet Me |
Nivelul minim de securitate este criptat. |
Inițiatorul primește tonul de reordonare. |
|
Securizat |
Meet Me |
Nivelul minim de securitate este nesecurizat. |
Punte de conferință securizată Conferința acceptă toate apelurile. |
Identificarea apelurilor telefonice securizate
Un apel securizat este stabilit când telefonul dvs. și telefonul de la celălalt capăt sunt configurate pentru apelare securizată. Celălalt telefon poate fi în aceeași rețea Cisco IP sau într-o rețea din afara rețelei IP. Apelurile securizate pot fi efectuate numai între două telefoane. Apelurile în conferință trebuie să accepte apelul securizat după configurarea punții de conferință securizată.
Un apel securizat este stabilit utilizând acest proces:
-
Un utilizator inițiază apelul de pe un telefon securizat (în modul de securitate Securizat).
-
Telefonul afișează pictograma securizată
Pe ecranul telefonului. Această pictogramă indică faptul că telefonul este configurat pentru apeluri securizate, dar nu înseamnă că celălalt telefon conectat este, de asemenea, securizat. -
Utilizatorul aude un ton de securitate dacă apelul se conectează la alt telefon securizat, indicând faptul că ambele capete ale conversației sunt criptate și securizate. Dacă apelul se conectează la un telefon nesecurizat, utilizatorul nu aude tonul de securitate.
Apelarea securizată este acceptată între două telefoane. Pentru telefoanele protejate, unele caracteristici, cum ar fi apelarea în conferință, liniile partajate și Extension Mobility, nu sunt disponibile când este configurată apelarea securizată.
Numai telefoanele protejate redau aceste tonuri de indicație securizate sau nesecurizate. Telefoanele neprotejate nu redau niciodată tonuri. Dacă starea generală a apelului se schimbă în timpul apelului, tonul de indicație se schimbă și telefonul protejat redă tonul corespunzător.
Când opțiunea Ton de redare pentru a indica starea apelului securizat/nesecurizat este setată la Adevărat:
-
Când este stabilită compatibilitatea media securizată de la un capăt la celălalt și starea apelului este securizată, telefonul redă tonul de indicație securizat (trei bipuri lungi, cu pauze).
-
Când este stabilită compatibilitatea media de la un capăt la celălalt și starea apelului este nesecurizată, telefonul redă tonul de indicație nesecurizat (șase bipuri scurte, cu pauze scurte).
Dacă opțiunea Ton de redare pentru a indica starea apelului securizat/nesecurizat este setată la False, nu este redat niciun ton.
Furnizați criptare pentru barjă
Cisco Unified Communications Manager verifică starea de securitate a telefonului atunci când sunt stabilite conferințe și modifică indicația de securitate pentru conferință sau blochează finalizarea apelului pentru a menține integritatea și securitatea în sistem.
Un utilizator nu poate intra într-un apel criptat dacă telefonul utilizat pentru barjă nu este configurat pentru criptare. Când barja eșuează în acest caz, un ton de reordonare (rapid ocupat) este redat pe telefonul pe care a fost inițiată barja.
Dacă telefonul inițiatorului este configurat pentru criptare, inițiatorul barjei poate intra într-un apel nesecurizat de pe telefonul criptat. După ce are loc barja, Cisco Unified Communications Manager clasifică apelul ca nesecurizat.
Dacă telefonul inițiatorului este configurat pentru criptare, inițiatorul barjei poate intra într-un apel criptat, iar telefonul indică faptul că apelul este criptat.
Securitate LAN wireless
Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Soluția de telefonie Cisco Wireless IP oferă securitate de rețea wireless care previne conectările neautorizate și comunicațiile compromise prin utilizarea următoarelor metode de autentificare acceptate de telefon.
-
Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentificare: Această arhitectură de securitate client-server criptează EAP tranzacțiile dintr-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).
Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.
În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.
-
Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru wireless EAP-TLS, certificatul client poate fi MIC, LSC, sau certificat instalat de utilizator.
-
Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua wireless. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.
-
Cheie pre-partajată (PSK): telefonul acceptă formatele ASCII și hexazecimal (HEX). Trebuie să utilizați aceste formate atunci când configurați o cheie WPA2/SAE pre-partajată.
ASCII: Un șir de caractere ASCII cu o lungime de 8 până la 63 de caractere (0-9, litere mici a-z, majuscule A-Z și caractere speciale). De exemplu,GREG123567@9ZX
&W.HEX: Un șir de caractere HEX cu lungimea de 64 de cifre hexazecimale (0-9, a-f sau A-F).
Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:
-
WPA2/WPA3: utilizează informațiile despre serverul RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât cheile prepartajate WPA care sunt stocate pe AP și telefon.
-
Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură.
Cu WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.
Pentru a contribui la protejarea traficului de voce prin conexiunea wireless, telefonul acceptă criptarea bazată pe AES pentru autentificarea WPA2/WPA3. AES este un cifru bloc simetric standardizat de NIST. AES utilizează o dimensiune fixă a blocului pe 128 de biți și acceptă dimensiuni cheie de 128 de biți, 192 de biți și 256 de biți. În rețelele Wi-Fi, AES este utilizat de suitele de cifrare, cum ar fi CCMP sau GCMP, în timp ce autentificarea este furnizată separat de PSK, SAE sau 802.1X/EAP, în funcție de modul de securitate WLAN configurat. Suita de cifruri acceptată și dimensiunea cheii depind de modelul telefonului și de configurația WLAN.
Când telefonul utilizează criptarea AES, atât pachetele de semnalizare SIP, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.
Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.
Unele scheme de autentificare necesită tipuri specifice de criptare.
Când utilizați cheia pre-partajată WPA2 sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.
Schemele de autentificare și criptare din tabelul următor arată opțiunile de configurare a rețelei pentru Cisco Wireless Phone 9821 care corespund configurației AP.
| FSR Tip | Autentificare | Administrare chei | Criptare | Cadrul de Management Protejat (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nu |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Da |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nu |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nu |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nu |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
| non-FT | Suită B | WPA-EAP-SUITE-B | GCMP | Da |
| non-FT | Suită-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Da |
Configurarea unui profil Wi-Fi
Puteți configura un profil Wi-Fi și îl puteți atribui telefonului wireless Cisco 9821. Acest profil conține parametrii necesari pentru ca telefonul să stabilească o conexiune Wi-Fi și ulterior să se înregistreze cu Cisco Unified CM. Atunci când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoane individuale.
Vă recomandăm să utilizați un profil securizat cu criptarea TFTP activată pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.
Telefoanele acceptă un certificat de server pentru fiecare metodă de instalare (manual, SCEP sau TFTP).
Rețineți următoarele note înainte de a configura profilul WLAN:
-
Numele de utilizator şi parola
-
Când rețeaua dvs. utilizează EAP-FAST și PEAP pentru autentificarea utilizatorilor, trebuie să configurați atât numele de utilizator, cât și parola, dacă este necesar, pe Remote Authentication Dial-In User Service (RADIUS) și pe telefon.
- Informațiile pe care le introduceți în profilul LAN wireless trebuie să fie identice cu informațiile pe care le-ați configurat pe serverul RADIUS.
-
Dacă utilizați domenii în cadrul rețelei dvs., trebuie să introduceți numele de utilizator cu numele de domeniu, în formatul:
domeniu\numedeutilizator.
-
-
Următoarele acțiuni pot duce la eliminarea parolei Wi-Fi existente:
- Introducerea unui ID de utilizator sau a unei parole nevalide
- Instalarea unei CA rădăcină nevalide sau expirate când tipul EAP este setat la PEAP-MSCHAPV2 sau PEAP-GTC
- Dezactivarea tipului EAP în curs de utilizare pe serverul RADIUS înainte de a comuta telefonul la noul tip EAP
- Pentru a schimba tipul EAP, asigurați-vă că activați mai întâi noul tip EAP pe serverul RADIUS, apoi comutați telefonul la tipul EAP. Când toate telefoanele au fost schimbate la tipul EAP nou, puteți dezactiva tipul EAP anterior dacă doriți.
| 1 |
În Administrare Cisco Unified Communications Manager, selectați . |
| 2 |
Faceți clic pe Adăugare nou. |
| 3 |
În secțiunea Wireless LAN Profile Information ( Informații profil Wireless LAN), setați parametrii:
|
| 4 |
În secțiunea Wireless Settings , setați parametrii:
|
| 5 |
În secțiunea Setări autentificări, setați Metoda de autentificare la una dintre aceste metode de autentificare: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK și None. Cisco Telefonul wireless 9821 nu acceptă WEP. După ce setați acest câmp, este posibil să vedeți câmpuri suplimentare pe care trebuie să le setați.
Cisco Wireless Phone 9821 nu acceptă câmpul Network Access Profile . |
| 6 |
Faceți clic pe Salvare. |
Ce trebuie să faceți în continuare
Legați Profilul LAN Wireless la un Grup de profiluri WLAN și apoi aplicați Grupul de profiluri WLAN la un grup de dispozitive (Grup>Dispozitiv comunTelefon
Instalarea unui certificat de utilizator de pe pagina web de administrare a telefonului
Puteți instala manual un certificat de utilizator pe telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.
Certificatul de fabricație instalat (MIC) preinstalat poate fi utilizat ca certificat de utilizator pentru EAP-TLS.
După instalarea certificatului de utilizator, trebuie să adăugați lanțul CA care a emis certificatul de utilizator în lista de încredere a serverului RADIUS.
nainte de a începe
Înainte de a putea instala certificatul unui utilizator pentru un telefon, trebuie să aveți:
-
Un certificat al unui utilizator, salvat pe calculator. Certificatul trebuie să fie în format PKCS #12.
-
Parola extrasă a certificatului. Lungimea parolei nu trebuie să depășească 32 de caractere.
| 1 |
Din pagina web de administrare a telefonului, selectați Certificate. |
| 2 |
Găsiți câmpul Instalat de utilizator și faceți clic pe Instalare. |
| 3 |
Răsfoiți până la certificatul de pe PC. |
| 4 |
În câmpul Parolă de extragere, introduceți parola de extragere a certificatului. |
| 5 |
Faceți clic pe Încărcare. |
| 6 |
Reporniți telefonul după ce încărcarea este finalizată. |
Instalați un server de autentificare CA din pagina web administrare telefon
Puteți instala manual un server de autentificare CA pe telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.
Trebuie instalat certificatul CA rădăcină care a emis certificatul serverului RADIUS.
nainte de a începe
Înainte de a putea instala un certificat pe un telefon, trebuie să aveți un Authentication Server CA salvat pe PC. Certificatul trebuie să fie codificat în PEM (Base-64) sau DER.
| 1 |
Din pagina web de administrare a telefonului, selectați Certificate. |
| 2 |
Găsiți câmpul CA server de autentificare și faceți clic pe Instalare |
| 3 |
Răsfoiți până la certificatul de pe PC. |
| 4 |
Faceți clic pe Încărcare. |
| 5 |
Reporniți telefonul după ce încărcarea este finalizată. |
Eliminarea manuală a unui certificat de securitate din pagina web de administrare a telefonului
Puteți să eliminați manual un certificat de securitate de pe un telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.
| 1 |
Din pagina web de administrare a telefonului, selectați Certificate. |
| 2 |
Găsiți certificatul în pagina Certificate. |
| 3 |
Faceți clic pe Ștergere. |
| 4 |
Reporniți telefonul după finalizarea procesului de ștergere. |
Configurarea SCEP
Simple Certificate Enrollment Protocol (SCEP) este standardul pentru acordarea și reînnoirea automată a certificatelor. Acesta evită instalarea manuală a certificatelor pe telefoanele dvs.
Activați parametrii de configurare specifici produsului SCEP
Trebuie să configurați următorii parametri SCEP pe Cisco Unified Communications Manager (Unified CM).
-
Adresa RA IP sau numele gazdei
-
Amprenta SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP
Autoritatea de înregistrare (RA) din Cisco IOS servește ca proxy pentru serverul SCEP. Clientul SCEP de pe telefon utilizează parametrii care sunt descărcați de la Cisco Unified CM. După ce configurați parametrii, telefonul trimite o solicitare getcs SCEP către RA și certificatul CA rădăcină este validat utilizând amprenta definită.
| 1 |
Din Cisco Unified Communications Manager Administration, selectați . |
| 2 |
Găsiți telefonul. |
| 3 |
Derulați la zona Aspect configurație specifică produsului. |
| 4 |
Bifați caseta de selectare WLAN SCEP Server pentru a activa parametrul SCEP. |
| 5 |
Bifați caseta de selectare WLAN Root CA Fingerprint (SHA256 sau SHA1) pentru a activa parametrul SCEP QED. |
Suport server SCEP
Dacă utilizați un server SCEP (Simple Certificate Enrollment Protocol), serverul poate menține automat certificatele de utilizator și server. Pe serverul SCEP, configurați agentul de înregistrare (RA) SCEP pentru:
-
A acționa ca punct de încredere PKI
-
A acționa ca RA PKI
-
A efectua autentificarea dispozitivelor folosind un server RADIUS
Pentru mai multe informații, consultați documentația serverului dvs. SCEP.
Configurarea unui certificat semnificativ la nivel local (LSC)
Există câteva metode pentru a instala un LSC. Acest exemplu de activitate se aplică la configurarea unui LSC cu metoda șirului de autentificare pe telefonul wireless Cisco 9821.
nainte de a începe
Asigurați-vă că configurațiile de securitate Cisco Unified CM și certificate authority proxy function (CAPF) corespunzătoare sunt finalizate.
-
Fișierul CTL sau ITL are un certificat CAPF.
-
În Administrare sistem de operare Cisco Unified Communications, verificați dacă este instalat certificatul CAPF.
-
CAPF rulează și este configurat.
Pentru mai multe informații despre aceste setări, consultați documentația versiunii Cisco Unified CM.
| 1 |
Obțineți șirul de autentificare CAPF care a fost setat la configurarea CAPF. |
| 2 |
La telefon, accesați setările |
| 3 |
Selectați . |
| 4 |
Introduceți șirul de autentificare. |
| 5 |
Apăsați mai mult Telefonul începe să instaleze, să actualizeze sau să elimine LSC, în funcție de modul în care este configurat CAPF. Când procedura este finalizată, pe telefon se afișează Instalat sau Neinstalat. Finalizarea procesului de instalare, actualizare sau eliminare a LSC poate dura mult. Când procedura de instalare a telefonului reușește, se afișează mesajul |
Autentificare 802.1X pentru rețele cu fir
Cisco Telefonul wireless 9821 acceptă autentificarea 802.1X pentru rețelele cu fir. Acest lucru este utilizat de obicei în timpul asigurării automate a accesului , atunci când telefonul este conectat la încărcătorul de birou printr-un adaptor USB-la-Ethernet acceptat.
Suportul pentru autentificarea 802.1X în rețelele cu fir necesită mai multe componente, după cum urmează:
-
Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.
-
Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat RADIUS.
-
Comutator: Comutatorul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să transmită mesajele EAP între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.
Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie.
Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.
-
Configurați CDP/LLDP bypass vocal VLAN.
-
Configurați serverul de autentificare și comutatorul înainte de a activa autentificarea 802.1X pentru rețelele cu fir de pe telefon.
-
Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
- Activat: dacă utilizați un comutator care acceptă autentificarea multidomeniu, îl puteți configura să utilizeze vocea VLAN.
- Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
-
Cisco Telefonul wireless 9821 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Rază · Parametrul Nume utilizator pentru a include telefonul wireless Cisco 9821.
De exemplu, PID-ul telefonului wireless Cisco 9821 este WP-9821. Puteți seta raza· Nume de utilizator pentru a
începe cu WPsauconține WPîn ambele secțiuni următoare: -
Activați autentificarea 802.1X pentru rețelele cu fir de pe telefon
Urmați acești pași pentru a activa autentificarea 802.1X pentru rețelele cu fir de pe telefon. Rețineți că autentificarea 802.1X pentru Wi-Fi este activată implicit și nu necesită configurare manuală.
| 1 |
Accesați setările |
| 2 |
Dacă vi se solicită, introduceți parola pentru a accesa meniul Setări . Puteți obține parola de la administratorul dvs. |
| 3 |
Selectați 802.1X. |
| 4 |
Evidențiați Autentificare dispozitiv și apăsați Activat. |
Activați autentificarea 802.1X pentru rețelele cu fir în Cisco Unified Communications Manager Administration
Urmați acești pași pentru a activa autentificarea 802.1X pentru rețelele cu fir pe Cisco Unified CM. Rețineți că autentificarea 802.1X pentru Wi-Fi este activată implicit și nu necesită configurare manuală.
Puteți vizualiza starea tranzacției și setările de securitate în meniul ecranului telefonului. Pentru informații suplimentare, consultați meniul Setări securitate de pe telefon.
| 1 |
În Cisco Unified Communications Manager Administration, selectați Dispozitiv > Telefon. |
| 2 |
Localizați telefonul pe care îl veți configura. |
| 3 |
Navigați la zona Product Specific Configuration Layout . |
| 4 |
Selectați Activat din meniul vertical Autentificare 802.1x. Când este configurată la Activat sau Dezactivat, opțiunea de autentificare a dispozitivului pe telefonul wireless Cisco 9821 devine doar în citire, împiedicând utilizatorii să modifice setările de autentificare 802.1X. |
| 5 |
Selectați Salvare. |
| 6 |
Selectați Aplicare config. |
Meniul setărilor de securitate de pe telefon
Pentru a vizualiza informațiile despre setările de securitate din meniul telefonului, accesați Setări
și selectați 802.1X. Disponibilitatea informațiilor depinde de setările de rețea din organizația dvs.
|
Parametri |
Opţiuni |
Default |
Descriere |
|---|---|---|---|
|
Autentificarea dispozitivelor |
Activat Dezactivat |
Dezactivat |
Activează sau dezactivează autentificarea 802.1X pe telefon. Setarea parametrilor poate fi păstrată după înregistrarea Out-Of-Box (OOB) a telefonului. |
|
Starea tranzacției | Dezactivate |
Afișează starea autentificării 802.1X. Statul poate fi (fără a se limita la):
| |
|
Protocol | Fără |
Afișează metoda EAP utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS. |
Configurarea versiunilor acceptate de TLS
Puteți configura versiunea minimă de TLS necesară pentru client și, respectiv, server.
În mod implicit, versiunea minimă TLS de server și client este ambele 1.2. Setarea are impact asupra următoarelor funcții:
- Conexiune de acces web HTTPS
- Onboarding pentru telefonul local
- Servicii HTTPS, cum ar fi Serviciile de directoare
- Securitatea stratului de transport al datagramelor (DTLS)
- Entitatea de acces portuar (PAE)
- Protocol de autentificare extensibil-Transport Layer Security (EAP-TLS)
Pentru mai multe informații despre compatibilitatea TLS 1.3 pentru Cisco IP Phones, consultați TLS 1.3 Matricea de compatibilitate pentru produsele de colaborare Cisco.
| 1 |
În Cisco Unified Communications Manager Administration, efectuați una dintre următoarele acțiuni, după cum este necesar:
Configurația urmează o structură ierarhică:
|
| 2 |
Configurați câmpul TLS Client Min Version : Opțiunea TLS 1.3 este disponibilă pe Cisco Unified CM 15SU2 sau o versiune ulterioară.
|
| 3 |
Configurați câmpul TLS Server Min Version :
|
| 4 |
Faceți clic pe Salvare. |
| 5 |
Faceți clic pe Aplicare configurare. |
| 6 |
Reporniți telefoanele. |
TURN oprit difuzorul și căștile pe Cisco Wireless Phone 9821
Aveți opțiunea de a TURN opri permanent difuzorul și căștile pe un telefon wireless Cisco 9821 pentru utilizatorul dvs. Dezactivarea acestor ieșiri audio asigură faptul că conversațiile nu sunt auzite de alte persoane din apropiere, ceea ce este important în mediile de birou partajate sau deschise.
| 1 |
În Cisco Unified Communications Manager Administration, selectați . |
| 2 |
Localizați telefonul pe care îl veți configura. |
| 3 |
Navigați la zona Product Specific Configuration Layout . |
| 4 |
Bifați una sau mai multe dintre următoarele casete de selectare pentru a TURN dezactiva capacitățile telefonului:
În mod implicit, aceste casete de selectare nu sunt bifate. |
| 5 |
Selectați Salvare. |
| 6 |
Selectați Aplicare config. |
