В этой статье
Поддерживаемые функции безопасности
dropdown icon
Безопасность телефонных вызовов
    Идентификация защищенной конференц-связи
    Идентификация защищенных телефонных вызовов
    Предоставьте шифрование для вмешательства
dropdown icon
Безопасность беспроводной локальной сети
    Настройте профиль Wi-Fi
    Установка сертификата пользователя с веб-страницы администрирования телефона
    Установите CA сервера аутентификации с веб-страницы администрирования телефона
    Вручную удалите сертификат безопасности с веб-страницы администрирования телефона
    Настройка SCEP
Настройка локально значимого сертификата (LSC)
dropdown icon
Аутентификация 802.1X для проводных сетей
    Включите аутентификацию 802.1X для проводных сетей на своем телефоне
    Включите аутентификацию 802.1X для проводных сетей в Cisco Unified Communications Manager Administration
    Меню настроек безопасности на телефоне
Настройте поддерживаемые версии TLS
TURN от динамика и гарнитуры на Cisco беспроводном телефоне 9821
Безопасность беспроводного телефона Cisco 9821 (Unified CM)
list-menuВ этой статье
list-menuОтправить обратную связь?

Эта статья справки посвящена беспроводному телефону Cisco 9821, зарегистрированному в Cisco Unified Communications Manager (Unified CM).

Можно включить функцию Cisco Unified Communications Manager (Unified CM) для работы в среде повышенной безопасности. Благодаря этим улучшениям в вашей телефонной сети задействован ряд мер по усилению безопасности и управлению рисками, которые позволяют защитить вас и ваших пользователей.

Среда повышенной безопасности содержит следующие компоненты:

  • Проверка подлинности поиска контактов

  • Протокол TCP по умолчанию для ведения журналов удаленного аудита

  • Улучшенная политика учетных данных

  • Поддержка семейства хэшей SHA-2 для цифровых подписей

  • Поддержка ключа RSA размер ключа до 4096 бит

В версии Cisco Unified CM 14.0 или более поздней телефоны поддерживают аутентификацию OAuth SIP.

OAuth поддерживается протоколом простой передачи файлов прокси (TFTP) с выпуском Cisco Unified CM 14.0 (1) SU1 или более поздней.

Дополнительные сведения о безопасности см. в следующих руководствах:

В телефоне может храниться только ограниченное число файлов списка доверенных удостоверений (ITL). Объем файлов ITL не может превышать 64K на телефоне, поэтому ограничьте количество файлов Cisco Unified CM на телефон.

Поддерживаемые функции безопасности

Функции безопасности защищают от угроз, в том числе в отношении идентификации телефона и данных. Эти функции формируют и поддерживают аутентифицированные потоки связи между телефоном и сервером Cisco Unified Communications Manager, а также гарантируют использование на телефонах только файлов, подписанных цифровой подписью.

ПО Cisco Unified Communications Manager выпуска 8.5(1) и выше предоставляет защиту по умолчанию, что позволяет использовать на телефонах Cisco IP следующие функции безопасности без запуска клиента CTL:

  • подпись файлов конфигурации телефона;

  • шифрование файлов конфигурации телефона;

  • HTTPS с Tomcat и другими веб-службами.

Функции защищенных сигналов и мультимедиа по-прежнему требуют запуска клиента CTL и использования аппаратных маркеров eToken.

Функции безопасности в системе Cisco Unified Communications Manager предотвращают кражу удостоверений телефона и сервера Cisco Unified Communications Manager, умышленное искажение данных и сигналов вызова, а также взлом медиапотока.

Для устранения этих угроз сеть IP-телефонии Cisco устанавливает и поддерживает потоки защищенной (зашифрованной) связи между телефоном и сервером, добавляет к файлам цифровую подпись, прежде чем они передаются на телефон, и шифрует медиапотоки и сигналы вызовов между телефонами Cisco IP.

Локально значимый сертификат (LSC) устанавливается на телефонах после выполнения необходимых задач, связанных с функцией прокси-сервера сертификационного центра (CAPF). Для настройки телефона LSC можно использовать команду Cisco Unified Communications Manager Administration, как описано в руководстве по безопасности Cisco Unified Communications Manager. Кроме того, можно инициировать установку LSC из меню «Безопасность » на телефоне. Это меню также позволяет обновлять или удалять локально значимый сертификат.

Телефоны используют профиль защиты телефона, который определяет, является ли устройство защищенным или незащищенным. Сведения о применении профиля безопасности к телефону см. в документации по конкретной версии Cisco Unified Communications Manager.

Если вы настроили параметры, связанные с безопасностью в Cisco Unified Communications Manager Administration, файл конфигурации телефона может содержать конфиденциальную информацию. В целях обеспечения конфиденциальности файла конфигурации необходимо настроить для него шифрование. Подробные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

В следующей таблице приведен обзор функций безопасности, поддерживаемых телефонами. Дополнительные сведения см. в документации по конкретной версии Cisco Unified Communications Manager.

Таблица 1. Обзор функций безопасности

Функция

Описание

Аутентификация образов

Подписанные двоичные файлы препятствуют взлому образа микропрограммы до его загрузки на телефон.

Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.

Установка сертификата сайта клиента

Каждый телефон Cisco IP нуждается в уникальном сертификате для проверки подлинности устройства. Телефоны содержат установленный на производстве сертификат (MIC), но для дополнительной безопасности можно указать установку сертификата в средстве администрирования Cisco Unified Communications Manager Administration с помощью функции прокси-сервера сертификационного центра (CAPF). Кроме того, можно установить на телефоне Locally Significant Certificate (LSC) из меню «Безопасность ».

Аутентификация устройства

Возникает между сервером Cisco Unified Communications Manager и телефоном, если каждый объект принимает сертификат другого объекта. Определяет, должно ли устанавливаться защищенное подключение между телефоном и Cisco Unified Communications Manager, и, если необходимо, создается защищенный путь для сигналов между объектами с использованием протокола TLS. Cisco Unified Communications Manager не регистрирует телефоны, если не может выполнить их аутентификацию.

Аутентификация файлов

Проверяет файлы с цифровой подписью, которые загружаются телефоном. Телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во флеш-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Шифрование файлов

Шифрование предотвращает кражу конфиденциальных данных при передаче файлов на телефон. Кроме того, телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во флеш-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Аутентификация сигналов

Используется протокол TLS для проверки отсутствия взлома сигнальных пакетов во время передачи.

Сертификат, установленный на производстве

Каждый телефон Cisco IP содержит уникальный установленный на производстве сертификат (MIC), которые используется для аутентификации устройства. Сертификат MIC обеспечивает постоянную уникальную идентификацию телефона, которая позволяет Cisco Unified Communications Manager аутентифицировать его.

Шифрование медиа

SRTP используется для обеспечения безопасности медиапотоков между поддерживаемыми устройствами, чтобы только нужное устройство получало и считывало данные. Включает создание пары первичных ключей мультимедиа для устройств, доставку ключей на устройства и обеспечение безопасности доставки ключей во время их передачи.

CAPF (прокси-сервер сертификационного центра)

Реализация частей процедуры создания сертификатов, которые очень требовательны к обработке на телефоне, а также взаимодействие с телефоном для создания ключей и установки сертификата. Прокси-сервер CAPF можно настроить для запроса сертификатов указанных пользователем центров сертификации от имени телефона или локальной генерации сертификатов.

Поддерживаются клавиши как EC (эллиптическая диаграмма), так и клавиши RSA. Для использования ключа EC убедитесь, что включен параметр «Поддержка расширенных алгоритмов шифрования конечных точек» (от параметра System >Enterprise).

Дополнительные сведения о CAPF и связанных конфигурациях см. в следующих документах:

Профиль безопасности

Определяет, является ли телефон незащищенным, прошедшим аутентификацию, зашифрованным или защищенным. Другие записи в этой таблице описывают функции безопасности.

Шифрованные файлы конфигурации

Позволяет обеспечить конфиденциальность файлов конфигурации телефона.

Необязательное отключение веб-сервера для телефона

В целях безопасности можно запретить доступ к веб-страницам, на которых отображается различная операционная статистика телефона, и на портал самообслуживания.

Усиление защиты телефона

Дополнительные параметры безопасности, которыми можно управлять из средства администрирования Cisco Unified Communications Manager Administration:

  • Отключение самообращенных ARP (GARP)
  • Отключение доступа к меню «Настройки» или предоставление ограниченного доступа
  • Отключение доступа к веб-страницам администрирования телефона
  • Отключение порта устройства Bluetooth
  • Ограничение шифров TLS

Защищенная обработка отказа SIP для SRST

После настройки ссылки на SRST (система повышения выживаемости телефонии для вынесенного узла) для защиты и сброса зависимых устройств в средстве администрирования Cisco Unified Communications Manager Administration TFTP-сервер добавляет сертификат SRST в файл cnf.xml и отправляет этот файл на телефон. Затем защищенный телефон использует подключение TLS для взаимодействия с маршрутизатором, поддерживающим SRST.

Шифрование сигнального соединения

Обеспечивает шифрование всех сигнальных сообщений SIP, которые отправляются между устройством и сервером Cisco Unified Communications Manager.

Оповещение об обновлении списка доверия

При обновлении списка доверия на телефоне Cisco Unified Communications Manager получает оповещение, содержащее сведения об успешности или сбое обновления. Дополнительные сведения см. в следующей таблице.

Шифрование AES 256

При подключении к Cisco Unified Communications Manager выпуска 10.5(2) и выше телефоны поддерживают шифрование AES 256 для TLS и SIP в целях шифрования сигналов и мультимедиа. Это позволяет телефонам инициировать и поддерживать подключения TLS 1.2 с помощью шифров на основе AES-256, которые соответствуют стандартам SHA-2 и FIPS. Шифры включают в себя:

  • для подключений TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
  • для sRTP:
    • AEAD_AES_256_GCM;
    • AEAD_AES_128_GCM.

Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Сертификаты алгоритма цифровых подписей на основе эллиптических кривых (Elliptic Curve Digital Signature Algorithm, ECDSA)

В рамках сертификации Common Criteria (CC) в Cisco Unified Communications Manager версии 11.0 добавлены сертификаты ECDSA. Это относится ко всем продуктам на платформе Voice Operating System (VOS) начиная с версии CUCM 11.5.

Сертификат Tomcat для нескольких серверов (SAN) с Cisco UCM

Телефон поддерживает Cisco UCM с настроенными сертификатами Tomcat для нескольких серверов (SAN). Правильный адрес сервера TFTP можно найти в файле ITL телефона для регистрации телефона.

Для получения дополнительной информации об этой функции см. ниже

В следующей таблице приведены оповещения об обновлении списка доверия и их значение. Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Таблица 2. Оповещения об обновлении списка доверия
Код и сообщение Описание

1 - TL_SUCCESS

Получен новый CTL и (или) ITL

2 - CTL_INITIAL_SUCCESS

Получен новый CTL, TL не существует

3 - ITL_INITIAL_SUCCESS

Получен новый ITL, TL не существует

4 - TL_INITIAL_SUCCESS

Получены новые CTL и ITL, TL не существует

5 - TL_FAILED_OLD_CTL

Сбой обновления нового CTL, но существует предыдущий TL

6 - TL_FAILED_NO_TL

Сбой обновления нового TL, старый TL не существует

7 - TL_FAILED

Общая ошибка

8 - TL_FAILED_OLD_ITL

Сбой обновления нового ITL, но существует предыдущий TL

9 - TL_FAILED_OLD_TL

Сбой обновления нового TL, но существует предыдущий TL

Безопасность телефонных вызовов

Если телефон защищен, можно определить защищенные телефонные вызовы по значкам на экране телефона. Также можно определить, является ли подключенный телефон защищенным и безопасным, если в начале вызова выдается тональный сигнал безопасности.

При защищенном вызове все сигналы вызова и медиапотоки шифруются. Защищенный вызов обеспечивает более высокий уровень безопасности, обеспечивая целостность вызова и его конфиденциальность. Если выполняющийся вызов зашифрован, вы видите значок защиты значок защищенного вызова 9821 на линии.

  • Если вызов маршрутизируется через этапы вызова, расположенные вне сетей IP, например через PSTN, вызов может быть незащищенным, даже если он зашифрован в IP-сети и помечен значком замка.

  • Поддержка защищенных вызовов возможна только для подключений между двумя телефонами. Некоторые функциональные возможности, такие как конференц-связь и общие линии, недоступны при настройке защищенных вызовов.

В Cisco Unified Communications Manager телефонам, настроенным как защищенные (доверенные и зашифрованные), могут назначить защищенный статус. После защиты эти устройства могут быть настроены для воспроизведения тонального сигнала безопасности в начале каждого вызова.

  • Защищенное устройство:

    Чтобы изменить статус защищенного телефона на защищенный, выполните следующие действия

    1. В Cisco Unified Communications Manager Administration выберите Устройство > Phone.
    2. Найдите телефон, который вы будете настроить.
    3. В окне «Конфигурация телефона» установите флажок « Защищенное устройство ».
    4. Нажмите Сохранить.
  • Воспроизведение тонального сигнала индикации защищенности:

    Чтобы защищенный телефон воспроизводил тональный сигнал индикации защищенности или незащищенности:

    1. В Cisco Unified Communications Manager Administration выберите "Параметры системы > услуги".
    2. Выберите сервер, а затем службу Cisco CallManager .
    3. В области «Параметры для всего кластера» (Функция — тональный сигнал защищенности) задайте для параметра «Воспроизведение тонального сигнала» для указания статуса защищенного/незащищенного вызова значение True.
    4. Нажмите Сохранить.

Идентификация защищенной конференц-связи

Вы можете инициировать защищенную конференц-связь и отслеживать уровень безопасности ее участников. Защищенная конференц-связь устанавливается с помощью следующего процесса.

  1. Пользователь инициирует конференцию с защищенного телефона.

  2. Cisco Unified Communications Manager назначает вызову защищенный конференц-мост.

  3. По мере добавления участников Cisco Unified Communications Manager проверяет режим безопасности каждого телефона и поддерживает уровень безопасности всей конференции.

  4. На экране телефона отображается уровень безопасности конференц-связи. Значок защищенной конференции отображается на экране значок защищенного вызова 9821.

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

В следующей таблице приведены сведения об изменениях уровней безопасности конференций в зависимости от уровня безопасности телефона инициатора, уровней безопасности участников и доступности защищенных конференц-мостов.

Таблица 3. Ограничения безопасности при конференц-вызовах

Уровень защиты телефона инициатора

Используемая функция

Уровень безопасности участников

Результаты действия

Незащищенный

Конференция (o)

Безопасный

Незащищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция (o)

Как минимум один участник является незащищенным.

Защищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция (o)

Безопасный

Защищенный конференц-мост

Защищенная шифрованная конференция

Незащищенный

Meet Me

Минимальным уровнем защиты является шифрование.

Инициатор получает тональный сигнал перезарядки.

Безопасный

Meet Me

Минимальным уровнем защиты является незащищенный.

Защищенный конференц-мост

Конференция принимает все вызовы.

Идентификация защищенных телефонных вызовов

Защищенный вызов устанавливается, если ваш телефон и телефон на другом конце настроены для поддержки защищенных вызовов. Другой телефон может находиться в той же IP-сети Cisco или в сети вне IP-сети. Защищенные вызовы могут устанавливаться только между двумя телефонами. Конференц-связь будет поддерживать защищенные вызовы после настройки защищенного конференц-моста.

Защищенный вызов устанавливается с помощью следующего процесса.

  1. Пользователь инициирует вызов с защищенного телефона (защищенный режим безопасности).

  2. На телефоне отображается значок защищенности значок защищенного вызова 9821 на экране телефона. Этот значок указывает, что телефон настроен для поддержки защищенных вызовов, однако это не означает, что другой подключенный телефон также защищен.

  3. Когда вызов доходит до другого защищенного телефона, пользователь слышит тональный сигнал безопасности, который указывает, что оба конца разговора шифруются и являются безопасными. Если вызов подключается к незащищенному телефону, пользователь не слышит тональный сигнал безопасности.

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

Только защищенные телефоны выдают упомянутые тональные сигналы индикации наличия или отсутствия защиты. Незащищенные телефоны никогда не выдают тональные сигналы. Если общий статус вызова меняется во время вызова, сигнал индикации меняется и защищенный телефон выдает соответствующий тональный сигнал.

Если опция « Воспроизводить тональный сигнал для указания состояния защищенного/незащищенного вызова» имеет значение True:

  • Если установлена сквозная среда защищенной передачи и статус вызова — защищенный, то телефон выдает тональный сигнал индикации защищенности (три длинных гудка с паузами).

  • Если установлена сквозная среда незащищенной передачи и вызов не является защищенным, то телефон выдает тональный сигнал индикации отсутствия защиты (шесть коротких гудков с короткими паузами).

Если параметр «Воспроизводить тональные сигналы для указания состояния защищенного/незащищенного вызова» установлен на False, тональные сигналы не выдаются.

Предоставьте шифрование для вмешательства

Cisco Unified Communications Manager проверяет статус безопасности телефона при установлении конференций, а также изменяет индикацию безопасности конференции или блокирует завершение вызова для поддержания целостности и безопасности в системе.

Пользователь не может вмешат в зашифрованный вызов, если телефон, используемый для вмешательства, не настроен для шифрования. При сбое вмешательства в этом случае на телефоне выдается тональный сигнал занятой линии (частый сигнал «занято»).

Если телефон инициатора настроен на шифрование, инициатор вмешательства может вмешаться в незащищенный вызов с зашифрованного телефона. После возникновения вмешательства Cisco Unified Communications Manager классифицирует вызов как незащищенный.

Если телефон инициатора настроен на шифрование, инициатор вмешательства может вмешат в зашифрованный вызов, а телефон указывает, что вызов зашифрован.

Безопасность беспроводной локальной сети

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик, телефон поддерживает архитектура Cisco SAFE Security. Дополнительные сведения о безопасности в сетях см. в разделе http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Решение телефонии для беспроводной сети Cisco IP обеспечивает защиту беспроводной сети и предотвращает несанкционированный вход и скомпрометируемые сообщения с помощью следующих методов аутентификации, поддерживаемых телефоном:

  • Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.

  • Аутентификация с помощью защищенного туннелирования (EAP-FAST) Аутентификация: эта архитектура безопасности клиент-сервер обеспечивает шифрование транзакций EAP в туннеле уровня безопасности на транспорте (TLS) между точкой доступа и сервером АУТЕНТИФИКАЦИИ,например Identity Services Engine (ISE).

    TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.

    В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.

  • Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводной сети EAP-TLS сертификатом клиента может быть сертификат MIC, LSC, или установленный пользователем сертификат.

  • Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации с беспроводной сетью. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

  • Ключ до общего доступа (PSK): телефон поддерживает форматы ASCII и шестнадцатеричный (HEX). Эти форматы необходимо использовать при настройке предварительно общего доступа ключа WPA2/SAE.

    ASCII: строка ASCII-символов длиной от 8 до 63 символов (от 0 до 9, строчные буквы a-z, заглавные буквы A–Z и специальные символы). Например, GREG123567@9ZX&W.

    HEX: строка с hex-символами длиной 64 гессерич-цифры (0–9, a-f или A–F).

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

  • WPA2/WPA3: используются сведения с сервера RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации.

При использовании WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

В целях защиты голосового трафика по беспроводному каналу телефон поддерживает шифрование на основе AES для аутентификации WPA2/WPA3. AES — симметричный шифр блока, стандартизированный NIST. AES использует фиксированный размер 128-битный блок и поддерживает ключи размеров 128 бит, 192 бит и 256 бит. В сетях Wi-Fi AES используется пакетами шифров, такими как CCMP или ГЦМП, а аутентификация предоставляется отдельно PSK, SAE или 802.1X/EAP в зависимости от настроенного режима безопасности WLAN. Поддерживаемый пакет шифров и размер ключа зависит от модели телефона и конфигурации WLAN.

Когда телефон использует шифрование AES, между точкой доступа и телефоном шифруются как сигнальные пакеты SIP, так и пакеты голосовой передачи в реальном времени (RTP).

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования.

При использовании ключа предварительного доступа WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.

Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры конфигурации сети для беспроводного телефона Cisco 9821, который соответствует конфигурации точки доступа.

Таблица 4. Схемы аутентификации и шифрования
Тип FSRПроверки подлинностиЦентр управленияШифрованияЗащищенный кадр управления (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНет
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНет
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
без FTЛюкс-BWPA-EAP-SUITE-BГЦМПДа
без FTЛюкс B-192WPA-EAP-SUITE-B-192ГЦМПДа

Настройка профиля Wi-Fi

Можно настроить профиль Wi-Fi и назначить его для беспроводного телефона Cisco 9821. Этот профиль содержит параметры, необходимые телефону для установления связи с Wi-Fi и последующей регистрации в Cisco Unified CM. При создании и использовании профиля Wi-Fi настройка беспроводной сети для отдельных телефонов не требуется.

При использовании профиля Wi-Fi рекомендуется использовать профиль безопасности с шифрованием TFTP для защиты ключей и паролей.

Телефоны поддерживают по одному сертификату сервера на каждый метод установки (вручную, SCEP или TFTP).

Перед настройкой профиля WLAN следует обратить внимание на следующее:

  • Имя пользователя и пароль

    • Если сеть использует EAP-FAST и PEAP для аутентификации пользователя, необходимо настроить имя пользователя и пароль, если таковой необходим, на сервере удаленной аутентификации пользователей с коммутируемым доступом (RADIUS) и телефоне.

    • Учетные данные, которые пользователь вводит в профиль беспроводной локальной сети, должны быть идентичны учетным данным, настроенным на сервере RADIUS.
    • Если в сети используются домены, необходимо указать имя пользователя и имя домена в формате домен\имя_пользователя.

  • Следующие действия могут привести к сбросу имеющегося пароля Wi-Fi:

    • ввод недопустимого идентификатора или пароля пользователя;
    • установка недопустимого или просроченного корневого ЦС, если в качестве типа EAP задан PEAP-MSCHAPV2 или PEAP-GTC;
    • отключение используемого типа EAP на сервере RADIUS, перед переключением телефона на новый тип EAP.
  • Чтобы изменить тип EAP, необходимо сначала включить новый тип EAP на сервере RADIUS, а затем переключить телефон на этот тип EAP. После изменения типа EAP на всех телефонах можно отключить предыдущий тип EAP, если необходимо.
1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Настройки устройства > Профиль беспроводной сети.

2

Нажмите Создать и добавить.

3

В разделе «Информация о профиле беспроводной локальной сети» задайте следующие параметры:

  • Имя — введите уникальное имя для профиля Wi-Fi. Это имя отображается на экране телефона.

  • Описание — введите описание профиля Wi-Fi, чтобы помочь отличить этот профиль от других профилей Wi-Fi.

  • Модифактируемое пользователя — выберите нужный параметр:

    • Разрешено — указывает, что пользователь может внести изменения в настройки Wi-Fi со своего телефона. По умолчанию этот параметр выбран.

    • Запрещено — указывает, что пользователь не может изменить настройки Wi-Fi на своем телефоне.

    • «Ограничено» — указывает, что пользователь может изменить имя пользователя и пароль Wi-Fi на своем телефоне. Однако пользователям не разрешено изменять другие настройки Wi-Fi на телефоне. Если сеть использует EAP-TLS для аутентификации пользователя, пользователь может выбрать тип сертификата (MIC, LSC или пользователь установлен).

4

В разделе «Параметры беспроводной сети» задайте следующие параметры:

  • SSID (сетевое имя) — введите имя сети, доступное в пользовательской среде, к которой можно подключить телефон. Это имя отображается в списке доступных на телефоне сетей, и телефон может подключаться к этой беспроводной сети.

  • Частотный диапазон — доступные варианты: Авто,2,4 ГГц и 5 ГГц. Это поле определяет частотный диапазон, используемый беспроводным соединением. Если выбрать « Авто», телефон пытается сначала использовать полосу 5 ГГц или 6 ГГц и использует полосу 2,4 ГГц только тогда, когда частот 5 или 6 ГГц нет.

5

В разделе "Параметры аутентификации" задайте для метода аутентификации один из следующих методов аутентификации: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK и Нет.

Беспроводной телефон Cisco 9821 не поддерживает WEP.

После настройки этого поля могут отображаться дополнительные поля, которые необходимо задать.

  • Сертификат пользователя — требуется для аутентификации EAP-TLS. Выберите MIC, LSC или Пользователь установлен. Телефон требует установки сертификата, автоматически с помощью SCEP или вручную на странице администрирования телефона.

  • Парольная фраза PSK — требуется для аутентификации PSK. Введите фразу прохода длиной от 8 до 63 символов ASCII или 64 HEX-символов.

  • Предоставьте общие учетные данные: необходимые для аутентификации EAP-FAST, PEAP-MSCHAPv2 и PEAP-GTC.

    • Если пользователь управляет именем пользователя и паролем, оставьте поля имя пользователя и пароль пустыми.

    • Если у всех пользователей одинаковые имя пользователя и пароль, информацию можно ввести в поля "Имя пользователя" и "Пароль ".

    • Введите описание в поле «Описание пароля».

    Если требуется назначить каждому пользователю уникальные имя пользователя и пароль, необходимо создать профиль для каждого пользователя.

Поле «Профиль сетевого доступа» Cisco беспроводной телефон 9821 не поддерживает.

6

Нажмите Сохранить.

Следующие шаги

Свяжите профиль беспроводной локальной сети с группой профиля WLAN, а затем примените группу профиля WLAN к пулу устройств (система > Device Пул) или напрямую к телефону (Устройство > Фон).

Установка сертификата пользователя с веб-страницы администрирования телефона

Если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен, можно вручную установить сертификат пользователя на телефоне.

Предустановленный сертификат (MIC) может использоваться в качестве сертификата пользователя для EAP-TLS.

После установки сертификата пользователя необходимо добавить цепочку CA, выдавив этот сертификат, в список доверия сервера РАДИУС.

Перед началом настройки

Перед установкой сертификата пользователя для телефона проверьте наличие следующих компонентов:

  • Сертификат пользователя, сохраненный на ПК. Сертификат должен быть в формате PKCS #12.

  • Извлекаемой пароль сертификата. Длина пароля не должна превышать 32 символов.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите поле Устанавливается пользователем и щелкните Установить.

3

Выберите сертификат на своем ПК.

4

В поле Пароль для извлечения введите пароль для извлечения сертификата.

5

Нажмите Загрузить.

6

После завершения загрузки перезагрузите телефон.

Установите CA сервера аутентификации с веб-страницы администрирования телефона

Если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен, можно вручную установить на телефоне центр сертификации.

Должен быть установлен сертификат корневого ЦС, выпустив этот сертификат сервера РАДИУС действия.

Перед началом настройки

Прежде чем устанавливать сертификат на телефоне, необходимо иметь сертификат сервера аутентификации, сохраненный на вашем ПК. Для сертификата должно использоваться шифрование в PEM (Base-64) или DER.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите поле Центр сертификации сервера аутентификации и щелкните Установить.

3

Выберите сертификат на своем ПК.

4

Нажмите Загрузить.

5

После завершения загрузки перезагрузите телефон.

Вручную удалите сертификат безопасности с веб-страницы администрирования телефона

Сертификат безопасности можно удалить с телефона вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите сертификат на странице Сертификаты.

3

Щелкните «Удалить».

4

После завершения процесса удаления перезагрузите телефон.

Настройка SCEP

Протокол SCEP (Simple Certificate Enrollment Protocol) является стандартом для автоматического предоставления и обновления сертификатов. Он позволяет избежать установки сертификатов на телефонах вручную.

Активация параметров конфигурации, заданных для отдельного продукта SCEP

Необходимо настроить следующие параметры SCEP в Cisco Unified Communications Manager (Unified CM).

  • RA IP адрес или имя хоста

  • отпечаток ключа сертификата корневого центра SHA-1 или SHA-256 для сервера SCEP.

Центр регистрации Cisco IOS (RA) используется в качестве прокси для сервера SCEP. В клиенте SCEP на телефоне используются параметры, загружаемые с экрана Cisco Unified CM. После настройки параметров телефон отправляет запрос SCEP getcs в RA, и сертификат корневого СА проверяется с использованием определенного отпечатка пальца.

1

Выберите «Устройство > Фон » Cisco Unified Communications Manager Administration.

2

Найдите нужный телефон.

3

Прокрутите вниз до области Схема конфигурации для отдельного продукта.

4

Для активации параметра SCEP установите флажок WLAN сервер SCEP.

5

Для активации параметра SCEP QED установите флажок WLAN (SHA256 или SHA1 ).

Поддержка серверов SCEP

Если используется сервер SCEP, он может автоматически сопровождать сертификаты пользователей и сервера. На сервере SCEP настройте агент регистрации SCEP (RA) для выполнения следующих задач:

  • выполнение функций точки доверия PKI;

  • выполнение функций RA PKI;

  • выполнение аутентификации устройств с помощью сервера RADIUS.

Дополнительные сведения см. в документации по серверу SCEP

Настройка локально значимого сертификата (LSC)

Существует несколько способов установки LSC. Пример задачи применяется для настройки LSC с помощью строкового метода аутентификации на Cisco беспроводном телефоне 9821.

Перед началом настройки

Убедитесь, что выполнены подходящие конфигурации безопасности Cisco Unified CM и certificate authority proxy function (CAPF).

  • Файл CTL или ITL содержит сертификат CAPF.

  • В средстве администрирования Cisco Unified Communications Operating System Administration убедитесь, что установлен сертификат CAPF.

  • Прокси-сервер CAPF запущен и настроен.

Для получения дополнительной информации об этих параметрах см. документацию по конкретному выпуску Cisco Unified CM.

1

Получите строку аутентификации CAPF, которая была задана при настройке CAPF.

2

На телефоне перейдите к настройкам 9821 Settings app icon Приложение.

3

Выберите «Параметры администратора> Системная конфигурация > Security > LSC.

4

Введите строку аутентификации.

5

Нажмите кнопку «Далее» 9821 More button и выберите "Отправить".

Телефон начнет устанавливать, обновлять или удалять LSC в зависимости от того, как настроен прокси-сервер CAPF. По завершении процедуры на телефоне отображается надпись «Установлено» или же «Не установлено».

Процесс установки, обновления или удаления LSC может занять длительное время.

Если процедура установки телефона успешно выполнена, отображается сообщение Установлено. Если на телефоне отображается Не установлено, строка авторизации может быть задана неверно или обновление телефона может быть выключено. Если операция прокси-сервера CAPF удаляет LSC, на телефоне отображается Не установлено, что указывает на успешное выполнение операции. Прокси-сервер CAPF регистрирует сообщения об ошибках. Изучите документацию по прокси-серверу CAPF, чтобы найти журналы и получить общее представление о значении сообщений об ошибках.

Аутентификация 802.1X для проводных сетей

Беспроводной телефон Cisco 9821 поддерживает аутентификацию 802.1X для проводных сетей. Обычно это используется при автоматической подготовке , когда телефон подключается к настольному зарядному устройству через поддерживаемый адаптер USB-to-Ethernet.

Для поддержки аутентификации 802.1X в проводных сетях требуются несколько компонентов, приведенных ниже

  • Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета РАДИУС ДЕЙСТВИЯ(144).

  • Коммутатор: коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции аутентификатора и ретранслировать сообщения EAP между телефоном и сервером аутентификации. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте CDP/LLDP обход голосового VLAN.

  • Настройте сервер аутентификации и коммутатор, прежде чем включить аутентификацию 802.1X для проводных сетей на телефоне.

  • Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.

    • Включено: если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно настроить его на использование голосовой VLAN.
    • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
  • Cisco беспроводной телефон 9821 имеет в PID другой префикс, чем для других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр «Имя пользователя» для добавления параметра Cisco беспроводного телефона 9821.

    Например, PID для Cisco беспроводного телефона 9821 имеет значение WP-9821. Можно настроить Радиус. Имя пользователя для начала с WP или содержит WP в обоих следующих разделах:

    • Политика > Кондиции > Обусловы по лизме

    • Политика > Наборы политики> Политика аутентификации> Правило 1

Включите аутентификацию 802.1X для проводных сетей на своем телефоне

Выполните следующие действия, чтобы включить аутентификацию 802.1X для проводных сетей на телефоне. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.

1

Доступ к настройкам 9821 Settings app icon Приложение.

2

При появлении запроса введите пароль для доступа к меню настроек . Вы можете получить пароль у своего администратора.

3

Выберите параметры администратора> Настройка безопасности> аутентификация802.1X.

4

Выберите Аутентификация устройства и нажмите Вкл .

Включите аутентификацию 802.1X для проводных сетей в Cisco Unified Communications Manager Administration

Выполните следующие действия, чтобы включить аутентификацию 802.1X для проводных сетей на Cisco Unified CM. Обратите внимание, что аутентификация 802.1X для Wi-Fi по умолчанию включена и не требует ручной настройки.

Статус и настройки безопасности транзакции можно просмотреть в меню экрана телефона. Дополнительные сведения см. в разделе меню настроек безопасности на телефоне.

1

В Cisco Unified Communications Manager Administration выберите Устройство > Phone.

2

Найдите телефон, который вы будете настроить.

3

Перейдите в область « Схема конфигурации для отдельного продукта».

4

Выберите «Включено» в раскрывающемся меню «Аутентификация 802.1x».

При настройке на «Включено или выключено», параметр аутентификации устройства на Cisco wireless Phone 9821 становится доступным только для чтения, что не позволяет пользователям изменять параметры аутентификации 802.1X.

5

Выберите Сохранить.

6

Выберите Применить конфигурацию.

Меню настроек безопасности на телефоне

Для просмотра информации о настройках безопасности в меню телефона перейдите к разделу «Настройки» 9821 Settings app icon выберите параметры администратора > Защита> 802.1X аутентификация. Доступность этой информации зависит от сетевых настроек в вашей организации.

Параметры

Параметры

По умолч.

Описание

Аутентификация устройства

Вкл

Выкл.

Выкл.

Включает или выключает аутентификацию 802.1X на телефоне.

Настройки параметра можно сохранить после регистрации телефона «из коробки» (OOB).

Состояние транзакции

Отключено

Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничиваясь):

  • Проверка подлинности — указывает на выполнение процесса аутентификации.
  • Аутентифицировано — указывает, что телефон аутентифицирован.
  • Отключено — указывает, что на телефоне отключено аутентификация 802.1x.
  • Подключение — указывает, что телефон каждые 30 секунд отправляет на коммутатор сообщения о запуске EAP.
  • Приобретенный — указывает, что коммутатор отклонил запрос телефона EAP и телефон не получает от коммутатора вызова EAP-TLS или EAP-FAST. Телефон пытается повторить попытку отправки запросов EAP.
  • Отсоединен — означает, что кабель Ethernet отсоединен.
  • На удержании — указывает, что коммутатор обработал запрос телефона на EAP, но отклонил аутентификацию EAP-FAST или EAP-TLS. Телефон пытается повторить попытку отправки запросов EAP.

Протокол

Нет

Отображает метод EAP, используемый для аутентификации 802.1X. Это может быть протокол EAP-FAST или EAP-TLS.

Настройте поддерживаемые версии TLS

Можно задать минимальную версию TLS, необходимую соответственно для клиента и сервера.

По умолчанию минимальная версия сервера и клиента TLS равна 1.2. Настройка оказывает влияние на следующие функции:

  • Подключение к веб-доступу HTTPS
  • Включение в систему на телефоне на территории предприятия
  • службы HTTPS, например, службы каталогов
  • Безопасность транспортного уровня датаграмм (DTLS)
  • Объект доступа к порту (PAE)
  • Безопасность на расширяемом протоколе аутентификации на транспортном уровне (EAP-TLS)

Дополнительные сведения о совместимости с TLS 1.3 для Cisco IP Phones см. в разделе «Матрица совместимости TLS 1.3 для продуктов для совместной работы Cisco продуктов для совместной работы».

1

При необходимости в Cisco Unified Communications Manager Administration выполните одно из следующих действий:

  • Для настройки всех развернутых телефонов перейдите в раздел System > Enterprise Phone Configuration.
  • Чтобы настроить использование для телефонов одного и того же профиля телефона, перейдите в раздел Параметры устройства >Device settings > Common Phone Profile .
  • Чтобы настроить отдельный телефон, перейдите к устройству > Phone. Затем найдите свой телефон и откройте страницу «Конфигурация телефона».

Конфигурация имеет иерархическую структуру:

  • Отдельные параметры устройства имеют приоритет над параметрами общего профиля телефона и уровня предприятия
  • Параметры общего профиля телефона переопределяют параметры уровня предприятия

2

Настройте поле «Минимальная версия клиентаTLS»:

Опция TLS 1.3 доступна на Cisco Unified CM 15SU2 или более поздней версии.

  • TLS 1.1: клиент TLS поддерживает версии TLS от 1.1 до 1.3.

    Если версия TLS на сервере ниже, чем 1.1, например 1.0, то соединение установить невозможно.

  • TLS 1.2 (по умолчанию): клиент TLS поддерживает TLS 1.2 и 1.3.

    Если версия TLS на сервере ниже 1.2, например 1.1 или 1.0, то соединение установить невозможно.

  • TLS 1.3: клиент TLS поддерживает только TLS версии 1.3.

    Если версия TLS на сервере ниже 1.3, например 1.2, 1.1 или 1.0, то соединение установить невозможно.

3

Настройте поле «TLS минимальная версия сервера»:

  • TLS 1.1: сервер TLS поддерживает версии TLS от 1.1 до 1.3.

    Если версия TLS в клиенте ниже 1.1, например 1.0, то соединение установить невозможно.

  • TLS 1.2 (по умолчанию): сервер TLS поддерживает TLS 1.2 и 1.3.

    Если версия TLS в клиенте ниже 1.2, например 1.1 или 1.0, то установить соединение невозможно.

  • TLS 1.3: сервер TLS поддерживает только TLS версии 1.3.

    Если версия TLS в клиенте ниже 1.3, например 1.2, 1.1 или 1.0, то соединение установить невозможно.

4

Нажмите Сохранить.

5

Щелкните «Применить конфигурацию ».

6

Перезагрузите телефоны.

TURN, от спикерфона и гарнитуры на Cisco беспроводном телефоне 9821

Для пользователя можно постоянно отключать TURN спикерфон и гарнитуру на беспроводном телефоне Cisco 9821. Отключение этих аудиовыхода гарантирует, что разговоры поблизости не слышны, что важно в условиях общего доступа и открытых офисов.

1

В Cisco Unified Communications Manager Administration выберите Устройство > Phone.

2

Найдите телефон, который вы будете настроить.

3

Перейдите в область « Схема конфигурации для отдельного продукта».

4

Установите один или несколько из следующих флажков, чтобы TURN отключить возможности телефона:

  • Отключение громкой связи
  • Отключить динамик и гарнитуру

По умолчанию эти флажки сняты.

5

Выберите Сохранить.

6

Выберите Применить конфигурацию.

Была ли статья полезной?
Была ли статья полезной?