- Главная
- /
- Статья
Cisco IP Phone безопасность на 9800/8875 (мультиплатформенная)
Эта справочная статья предназначена для настольного телефона Cisco серии 9800 и видеотелефона Cisco 8875, зарегистрированных в Cisco BroadWorks или Webex Calling.
Настройте параметры DHCP
Можно задать порядок использования параметров DHCP телефоном. Для получения справки по параметрам DHCP см. Поддержка опции DHCP.
1 |
Доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В Профиль конфигурации раздел, установите DHCP Вариант использования и Вариант использования DHCPv6 параметры, как описано ниже:
|
4 |
Щелкните Submit All Changes. |
Поддержка опции DHCP
В следующей таблице перечислены параметры DHCP, поддерживаемые на телефонах PhoneOS.
Стандарт сети | Описание |
---|---|
Опция DHCP 1 | Маска подсети |
Опция DHCP 2 | Смещ. вр. |
Опция DHCP 3 | Маршрутизатор |
Опция DHCP 6 | Сервер имен домена |
Опция DHCP 15 | Имя домена |
Опция DHCP 17 | Сведения, идентифицирующие конкретного поставщика |
Опция DHCP 41 | Срок предоставления IP-адреса |
Опция DHCP 42 | Сервер NTP |
Опция DHCP 43 | Сведения, относящиеся к конкретному поставщику Может использоваться для предоставления конфигурации SCEP. |
Опция DHCP 56 | Сервер NTP Конфигурация NTP-сервера с помощью IPv6 |
Опция DHCP 60 | Идентификатор класса поставщика |
Опция DHCP 66 | Имя сервера TFTP |
Опция DHCP 125 | Сведения, идентифицирующие конкретного поставщика |
Опция DHCP 150 | TFTP |
Опция DHCP 159 | IP сервера настройки |
Опция DHCP 160 | URL настройки |
Установите минимальную версию TLS для клиента и сервера
По умолчанию минимальная версия TLS для клиента и сервера — 1.2. Это означает, что клиент и сервер согласны устанавливать соединения с TLS 1.2 или выше. Максимальная поддерживаемая версия TLS для клиента и сервера — 1.3. После настройки минимальная версия TLS будет использоваться для согласования между клиентом TLS и сервером TLS.
Вы можете установить минимальную версию TLS для клиента и сервера соответственно, например 1.1, 1.2 или 1.3.
Перед началом настройки
1 |
Доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В разделе Настройки безопасности, настройте параметр TLS Минимальная версия клиента.
Этот параметр также можно настроить в файле конфигурации (cfg.xml). <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3. Значение по умолчанию: TLS 1.2. |
4 |
В разделе Настройки безопасности, настройте параметр TLS Минимальная версия сервера. Webex Calling не поддерживает TLS 1.1.
Этот параметр также можно настроить в файле конфигурации (cfg.xml). <TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>
Допустимые значения: TLS 1.1, TLS1.2 и TLS 1.3. Значение по умолчанию: TLS 1.2. |
5 |
Щелкните Submit All Changes. |
Включение режима FIPS
Вы можете сделать телефон соответствующим Федеральным стандартам обработки информации (FIPS).
FIPS — это набор стандартов, описывающих обработку документов, алгоритмы шифрования и другие стандарты информационных технологий для использования в невоенных правительственных учреждениях, а также государственными подрядчиками и поставщиками, которые работают с агентствами. CiscoSSL FOM (объектный модуль FIPS) — это тщательно определенный программный компонент, разработанный для совместимости с библиотекой CiscoSSL, поэтому продукты, использующие библиотеку CiscoSSL и API, можно преобразовать для использования проверенной криптографии FIPS 140-2 с минимальными усилиями.
1 |
Доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В Настройки безопасности раздел, выберите Да или Нет из Режим FIPS параметр. |
4 |
Щелкните Submit All Changes. При включении FIPS на телефоне будут без проблем работать следующие функции:
|
Установите пароли пользователя и администратора
После первой регистрации телефона в системе управления вызовами или выполнения сброса настроек телефона к заводским настройкам необходимо установить пароли пользователя и администратора для повышения безопасности телефона. После установки паролей вы сможете получить доступ к веб-интерфейсу телефона.
По умолчанию пароли пользователя и администратора пусты. Поэтому вы можете найти проблему «Пароль не предоставлен» на
экран телефона.1 |
Доступ к веб-странице администрирования телефона |
2 |
Выберите . |
3 |
(Необязательно) В Конфигурация системы раздел, установите Отображать предупреждения о пароле параметр для Да, а затем нажмите Отправить все изменения. Вы также можете включить параметры в файле конфигурации телефона (cfg.XML).
Значение по умолчанию: Да Варианты: Да|Нет Если параметр установлен на Нет, предупреждение о пароле не отображается на экране телефона. |
4 |
Найдите параметр Пароль пользователя или Пароль администратора и нажмите Изменить пароль рядом с параметром. |
5 |
Введите текущий пароль пользователя в поле Старый пароль. Если у вас нет пароля, оставьте поле пустым. По умолчанию значение не указано.
|
6 |
Введите новый пароль в поле Новый пароль. Действительные правила пароля:
Если новый пароль не соответствует требованиям, настройка будет отклонена. |
7 |
Нажмите Отправить. На веб-странице отобразится сообщение После задания пароля пользователя в этом параметре в XML-файле конфигурации телефона (cfg. XML) отображается следующее:
|
Аутентификация 802.1X
Телефоны Cisco IP поддерживают аутентификацию 802.1X.
Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL на средство аутентификации 802.1X, размещенное на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не будет выполнять роль коммутатора локальной сети для аутентификации оконечного устройства данных перед получением доступа к сети.
Телефоны Cisco IP также предоставляют механизм выхода из прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как поддерживается канал между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон передает сообщение о выходе EAPOL на коммутатор от лица расположенного ниже ПК, что приводит к очистке коммутатором локальной сети записи аутентификации о расположенном ниже ПК.
Для поддержки аутентификации 802.1X требуются несколько компонентов.
-
Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.
-
Сервер аутентификации: сервер аутентификации и коммутатор должны быть настроены с использованием общего секретного ключа, который аутентифицирует телефон.
-
Коммутатор: чтобы коммутатор мог действовать в качестве средства аутентификации и передавать сообщения между телефоном и сервером аутентификации, он должен поддерживать стандарт 802.1X. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.
Для настройки 802.1X необходимо выполнить следующие действия.
-
Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.
-
Настройка порта ПК: в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), поэтому рекомендуется, чтобы только одно устройство проходило аутентификацию для определенного порта коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключать ПК к порту ПК на телефоне.
-
Включено: если используется коммутатор, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подсоединить к нему ПК. В этом случае телефоны Cisco IP поддерживают выход с прокси-сервера EAPOL для отслеживания обмена данными аутентификации между коммутатором и подключенным ПК.
Дополнительные сведения о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по конфигурации коммутаторов Cisco Catalyst:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.
-
Отключено: если коммутатор не поддерживает несколько совместимых со стандартом 802.1X устройств на одном и том же порту, то при включенной аутентификации по 802.1X необходимо отключить порт ПК. Если вы не отключите этот порт и впоследствии попытаетесь подключить к нему ПК, коммутатор откажет в доступе к сети и телефону, и ПК.
-
- Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.
- Включено: если вы используете коммутатор, поддерживающий аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
- Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
- (Только для настольного телефона серии 9800 Cisco)
Настольный телефон Cisco серии 9800 имеет другой префикс в PID, чем у других телефонов Cisco. Чтобы ваш телефон мог пройти аутентификацию 802.1X, задайте параметр Radius·User-Name , включив в него ваш настольный телефон серии Cisco 9800.
Например, PID телефона 9841 — DP-9841; вы можете задать для параметра Radius·User-Name значение
Начинать с DP
илиСодержит DP
. Вы можете установить его в обоих следующих разделах: -
Включить аутентификацию 802.1X на веб-странице телефона
Если включена аутентификация 802.1X, телефон использует аутентификацию 802.1X для запроса доступа к сети. Если аутентификация 802.1X отключена, телефон использует Cisco Discovery Protocol (CDP) для получения VLAN и доступа к сети.
Вы можете выбрать сертификат (MIC/SUDI или CDC), используемый для аутентификации 802.1X. Дополнительную информацию о CDC см. в разделе Сертификат специального устройства на 9800/8875.
Статус транзакции и настройки безопасности можно просмотреть в меню экрана телефона. Дополнительные сведения см. в разделе Меню настроек безопасности на телефоне.
1 |
Включить аутентификацию 802.1X. Выберите Включить аутентификацию 802.1X значение Да. и установите для параметраЭтот параметр также можно настроить в файле конфигурации (cfg.xml).
Допустимые значения: Да/Нет Значение по умолчанию: Нет |
2 |
Выберите один из следующих установленных сертификатов, используемых для аутентификации 802.1X. Параметры стоимости:
Конфигурация различается в зависимости от сети:
|
3 |
Настройте параметр Идентификатор пользователя , который будет использоваться в качестве идентификатора для аутентификации 802.1X в проводной сети. Конфигурация параметров вступает в силу только в том случае, если для проводной аутентификации 802.1X используется CDC (Выбор сертификата установлен на Установлен вручную). По умолчанию этот параметр пуст. Идентификация проводного 802.1X различается в зависимости от выбранного сертификата:
Если Идентификатор пользователя пустой и настроено общее имя в CDC, то проводной 802.1X будет использовать общее имя CDC в качестве идентификатора. Этот параметр также можно настроить в файле конфигурации (cfg.xml).
Допустимые значения: максимум 127 символов. Значение по умолчанию: пустое Этот параметр также поддерживает переменные расширения макросов, подробности см. в разделе Переменные расширения макросов . Если вы хотите использовать параметры DHCP для предоставления идентификатора пользователя, см. раздел Предоставление общего имени или идентификатора пользователя с помощью параметра DHCP 15. |
4 |
Щелкните Submit All Changes. |
Меню настроек безопасности на телефоне
Информацию о настройках безопасности вы можете просмотреть в меню телефона. Путь навигации:
. Доступность информации зависит от настроек сети в вашей организации.
Параметры |
Параметры |
По умолч. |
Описание |
---|---|---|---|
Аутентификация устройства |
Вкл Выкл. |
Выкл. |
Включает или отключает аутентификацию 802.1X на телефоне. Настройку параметров можно сохранить после регистрации телефона «из коробки» (OOB). |
Состояние транзакции | Отключено |
Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничиваясь):
| |
Протокол | Нет |
Отображает метод EAP, используемый для аутентификации 802.1X. Это может быть протокол EAP-FAST или EAP-TLS. | |
Тип сертификата пользователя |
Производство установлено Устанавливается индивидуально |
Производство установлено |
Выбирает сертификат для аутентификации 802.1X во время первоначальной регистрации и обновления сертификата.
Этот параметр появляется на телефоне, только если включена аутентификация устройства. |
Обратная совместимость с WPA |
Вкл Выкл. | Выкл. |
Определяет, совместима ли самая старая версия Wi-Fi Protected Access (WPA) для подключения к беспроводной сети или точке доступа (точке доступа).
Эта функция доступна только на телефонах 9861/9871/8875. |
Настройка прокси-сервера
Можно настроить телефон на использование прокси-сервера для повышения безопасности. Обычно прокси-сервер HTTP может предоставлять следующие службы:
- Маршрутизация трафика между внутренними и внешними сетями
- фильтрация, мониторинг или регистрация трафика
- Кэширование ответов для повышения производительности
Кроме того, прокси-сервер HTTP может выступать в качестве брандмауэра между телефоном и Интернетом. После успешной конфигурации телефон подключается к Интернету через прокси-сервер, который защищает телефон от кибератак.
Функция HTTP-прокси при настройке применяется ко всем приложениям, используюским протокол HTTP. Пример:
- GDS (Подключение с кодом активации)
- Активация устройства EDOS
- Переключение в облако Webex (через EDOS или GDS)
- Пользовательский CA
- Инициализация
- Обновление микропрограммного обеспечения
- Отчет о состоянии телефона
- Выгрузка PRT
- Службы XSI
- Службы Webex
- В настоящее время функция поддерживает только IPv4.
- Настройки HTTP-прокси можно сохранить после регистрации телефона из коробки (OOB).
1 |
Доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В разделе « Параметры прокси-сервера HTTP» выберите режим прокси в раскрывающемся списке «Режим прокси-сервера » и настройте соответствующие параметры. Дополнительные сведения о параметрах и требуемых параметрах для каждого режима прокси-сервера см. в разделе «Параметры параметров HTTP-прокси» . |
4 |
Щелкните Submit All Changes. |
Параметры параметров прокси-сервера HTTP
В следующей таблице описаны функции и использование параметров HTTP-прокси в разделе «Настройки прокси-сервера HTTP» в разделе Tab в веб-интерфейсе телефона. Здесь также определяется синтаксис строки, добавляемой в файл конфигурации телефона с XML-кодом (cfg.xml), для настройки параметра.
Параметр | Описание |
---|---|
Режим прокси | Указывает режим HTTP-прокси, используемый телефоном, или отключает функцию HTTP-прокси.
Выполните одно из следующих действий:
Допустимые значения: «Авто», «Вручную» и «Выкл.» Значение по умолчанию: «Выкл.» |
Автоматическое обнаружение веб-прокси | Определяет, использует ли телефон протокол автоматического обнаружения веб-прокси (WPAD) для получения PAC-файла. Для автоматического обнаружения файла автоматической конфигурации прокси-сервера (PAC), протокол WPAD использует DHCP или DNS, или оба сетевых протокола. Файл PAC используется для выбора прокси-сервера для заданного URL-адреса. Этот файл может размещаться локально или в сети.
Выполните одно из следующих действий:
Допустимые значения: Да и Нет Значение по умолчанию: Да |
URL PAC | URL-адрес файла PAC. Например, Поддерживаются протоколы TFTP, HTTP и HTTPS. Если для режима прокси-сервера задано значение «Авто и автоматическое обнаружение веб-прокси» значение «Нет», необходимо настроить этот параметр. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Узел прокси-сервера | IP-адрес или имя хоста узла прокси-сервера, к которому должен обращаться телефон. Пример:
Схема ( Если для параметра Режим прокси задано значение Вручную, необходимо настроить этот параметр. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Порт прокси-сервера | Номер порта узла прокси-сервера. Если для параметра Режим прокси задано значение Вручную, необходимо настроить этот параметр. Выполните одно из следующих действий:
Значение по умолчанию: 3128 |
Аутентификация прокси-сервера | Определяет, должен ли пользователь предоставлять учетные данные для аутентификации (имя пользователя и пароль), необходимые прокси-серверу. Этот параметр настраивается в соответствии с фактическим поведением прокси-сервера. Если для параметра установлено значение Да, необходимо настроить Имя пользователя и Пароль. Подробнее об этих параметрах см. в параметрах "Имя пользователя" и "Пароль" в этой таблице. Настройка параметра вступает в силу, если для параметра Режим прокси установлено значение Вручную. Выполните одно из следующих действий:
Допустимые значения: Да и Нет Значение по умолчанию: Нет |
Имя пользователя | Имя пользователя для пользователя учетных данных на прокси-сервере. Если значение «Прокси-режим » — «Вручную », а для аутентификации прокси-сервера — значение «Да», необходимо настроить этот параметр. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Пароль | Пароль для указанного имени пользователя для целей аутентификации на прокси-сервере. Если значение «Прокси-режим » — «Вручную », а для аутентификации прокси-сервера — значение «Да», необходимо настроить этот параметр. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Режим прокси | Требуемые параметры | Описание |
---|---|---|
Выкл. | Н/Д | На телефоне отключен http-прокси. |
Вручную | Узел прокси-сервера Порт прокси-сервера Аутентификация прокси-сервера: да Имя пользователя Пароль | Вручную укажите прокси-сервер (имя хоста или IP адрес) и порт прокси-сервера. Если для прокси-сервера требуется проверка подлинности, необходимо ввести имя пользователя и пароль. |
Узел прокси-сервера Порт прокси-сервера Аутентификация прокси-сервера: нет | Укажите прокси-сервер вручную. Для прокси-сервера не требуются учетные данные проверки подлинности. | |
Авто | Автоматическое обнаружение веб-прокси: нет URL PAC | Введите допустимый URL PAC, чтобы извлечь файл PAC. |
Автоматическое обнаружение веб-прокси: да |
Используется протокол WPAD для автоматического извлечения PAC-файла. |
Включите режим, инициированный клиентом для согласования безопасности на уровне сред передачи
Для защиты сеансов работы с мультимедиа телефон можно настроить на инициирование согласования с сервером плана безопасной передачи информации. Механизм безопасности соответствует стандартам, установленным в RFC 3329 и проекте его добавочного номера «Названия механизмов безопасности для сред передачи » (см. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспорт согласований между телефоном и сервером может использовать протокол SIP по UDP, TCP и TLS. Согласование безопасности плана передачи информации можно ограничить случаем, когда протоколом передачи сигналов служит TLS.
Параметр | Описание |
---|---|
Запрос MediaSec |
Указывает, будет ли телефон инициировать согласование безопасности в плане передачи информации с сервером. Выполните одно из следующих действий:
Допустимые значения: Да/Нет
Значение по умолчанию: Нет |
Только MediaSec по TLS |
Указывает транспортный протокол сигнализации, по которому выполняется согласование безопасности в плане передачи информации. Прежде чем задать в этом поле значение Да, обязательно выберите TLS в качестве транспортного протокола сигнализации. Выполните одно из следующих действий:
Допустимые значения: Да/Нет
Значение по умолчанию: Нет |
1 |
Доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В разделе «SIP настройки» задайте поля MediaSec Request и MediaSec Over TLS Only , как указано в таблице выше. |
4 |
Щелкните Submit All Changes. |
Безопасность WLAN
Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик, архитектура безопасности Cisco SAFE поддерживает телефон. Дополнительные сведения о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Решение для телефонии для беспроводной IP Cisco обеспечивает защиту беспроводной сети и предотвращает несанкционированный вход в систему и скомпрометную связь с помощью следующих методов аутентификации, поддерживаемых телефоном:
-
Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.
-
Аутентификация с помощью защищенного туннелирования (EAP-FAST) Аутентификация: эта архитектура обеспечения безопасности клиент-сервер обеспечивает шифрование транзакций EAP в туннеле уровня безопасности на транспорте (TLS) между точкой доступа и сервером РАДИУС ДЕЙСТВИЯ, такому как Identity Services Engine (ISE).
TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.
В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.
-
Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводной EAP-TLS сертификатом клиента может быть сертификат MIC, LSC, или установленный пользователем сертификат.
-
Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации с беспроводной сетью. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.
-
Предварительный общий ключ (PSK): телефон поддерживает формат ASCII. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать этот формат:
ASCII: строка ASCII-символов длиной от 8 до 63 символов (0–9, строчные и заглавные буквы A–Z, специальные символы).
Пример: GREG123567@9ZX&W
Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:
-
WPA/WPA2/WPA3: использует информацию о сервере РАДИУС ДЛЯ генерации уникальных ключей для аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.
-
Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Настольные телефоны Cisco 9861 и 9871, а также видеосвязь Cisco 8875 поддерживают 802.11r (FT). Поддерживаются и по воздуху, и через DS, что обеспечивает быстрый защищенный роуминг. Однако мы настоятельно рекомендуем использовать беспроводную связь стандарта 802.11r (FT).
При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.
Чтобы обеспечить защиту голосового трафика, телефон поддерживает шифрование TKIP и AES. Когда эти механизмы используются для шифрования, между точкой доступа и телефоном шифруются как сигнальные пакеты SIP, так и пакеты voice Real-Time Transport Protocol (RTP).
- TKIP
-
WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключом каждого пакета и более длительные векторы инициализации, что делает шифрование более надежным. Кроме того, проверка целостности сообщения (MIC) обеспечивает невозможность изменения зашифрованных пакетов. TKIP устраняет предсказуемость WEP, благодаря которой злоумышленники могут расшифровать ключ WEP.
- AES
-
Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который задействует один и тот же ключ для шифрования и расшифровки. AES использует 128-разрядный алгоритм шифрования Cipher Blocking Chain (CBC), который поддерживает ключи размером как минимум 128, 192 и 256 битов. Телефон поддерживает размер ключа 256 бит.
Настольные телефоны Cisco 9861 и 9871 и Cisco видеосвязь 8875 не поддерживают протокол Cisco key Integrity Protocol (CKIP) с CMIC.
Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.
Некоторые схемы аутентификации нуждаются в определенных типах шифрования.
- При использовании клавиши предварительного доступа WPA, предварительного доступа к ключу WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.
-
Телефон поддерживает автоматическое согласование EAP для FAST или PEAP, но не для TLS. Для режима EAP-TLS его необходимо указать.
Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры сетевой конфигурации телефона, соответствующего конфигурации точки доступа.
Тип FSR | Аутентификация | Центр управления | Шифрование | Защищенный кадр управления (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Нет |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Да |
802.11r (FT) | EAP-TLS |
WPA EAP FT-EAP | AES | Нет |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
802.11r (FT) | EAP-FAST |
WPA EAP FT-EAP | AES | Нет |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
802.11r (FT) | EAP-PEAP |
WPA EAP FT-EAP | AES | Нет |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Да |
Настройка профиля Wi-Fi
Профиль Wi-Fi можно настроить с веб-страницы телефона или из профиля удаленного устройства, а затем связать профиль с доступными сетями Wi-Fi. Этот профиль Wi-Fi можно использовать для подключения к Wi-Fi. В настоящее время можно настроить только один профиль Wi-Fi.
Профиль содержит параметры, необходимые телефону для подключения к серверу телефонов по Wi-Fi. При создании и использовании профиля Wi-Fi вам или вашим пользователям не требуется настраивать беспроводную сеть для отдельных телефонов.
Профиль Wi-Fi позволяет предотвратить или ограничить изменения конфигурации Wi-Fi на телефоне пользователем.
При использовании профиля Wi-Fi для защиты ключей и паролей рекомендуется использовать защищенный профиль с включенными протоколами шифрования.
Когда вы настраиваете телефоны на использование метода аутентификации EAP-FAST в режиме безопасности, пользователям требуются отдельные учетные данные для подключения к точке доступа.
1 |
Необходим доступ к веб-странице администрирования телефона. |
2 |
Выберите . |
3 |
В разделе Wi-Fi Profile (n) задайте параметры, описанные в таблице «Параметры» Wi-Fi профиля. Для входа пользователя можно также использовать конфигурацию профиля Wi-Fi.
|
4 |
Щелкните Submit All Changes. |
Параметры профиля Wi-Fi
В таблице ниже описывается функция и использование каждого параметра в разделе Профиль Wi-Fi (n) на вкладке Система на веб-странице телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.XML) для настройки параметра.
Параметр | Описание |
---|---|
Имя сети | Позволяет ввести имя SSID, которое будет отображаться в телефоне. У нескольких профилей может быть одно и то же имя сети с различными режимами безопасности. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Режим безопасности | Позволяет выбрать метод аутентификации, используемый для защиты доступа к сети Wi-Fi. В зависимости от выбранного метода отображается поле пароля, в которое можно указать учетные данные, необходимые для присоединения к сети Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: Авто |
Идентификатор пользователя Wi-Fi | Позволяет ввести идентификатор пользователя для сетевого профиля. Это поле доступно, когда для режима безопасности заданы следующие значения: "Авто", "EAP-FAST" или EAP-PEAP. Это обязательное поле с максимальной длиной 32 алфавитно-цифровых символа. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Пароль для Wi-Fi | Позволяет ввести пароль для указанного идентификатора пользователя Wi-Fi. Выполните одно из следующих действий:
Значение по умолчанию: пустое |
Полоса частот | Позволяет выбрать полосу частот беспроводных сигналов, используемую в БЛВС. Выполните одно из следующих действий:
Значение по умолчанию: Авто |
Выбор сертификата | Позволяет выбрать тип сертификата для первоначальной регистрации и обновления сертификата в беспроводной сети. Этот процесс доступен только для аутентификации 802.1X. Выполните одно из следующих действий:
По умолчанию: установлено на производстве |
Проверьте статус безопасности устройства на телефоне
Статус безопасности устройства проверяется телефоном автоматически. При обнаружении на телефоне потенциальных угроз безопасности подробная информация о проблемах отображается в меню "Проблемы и диагностика ". Основываясь на проблемах,ох, администратор может выполнить действия по обеспечению защиты и защиты телефона.
Статус безопасности устройства доступен до того, как телефон будет зарегистрирован в системе обработки вызовов (Webex Calling или BroadWorks).
Чтобы просмотреть сведения о проблемах с безопасностью на экране телефона, выполните следующие действия
1 |
Нажмите Настройки. |
2 |
Выберите .В настоящее время в отчете о безопасности устройства содержатся следующие проблемы:
|
3 |
Для решения проблем с безопасностью обратитесь к своему администратору за поддержкой. |