- Domov
- /
- Článok
Cisco IP zabezpečenie telefónu
Tento článok Pomocníka je určený pre telefóny Cisco Desk Phone 9800 Series a Cisco Video Phone 8875 registrované na Cisco BroadWorks.
Manuálna inštalácia certifikátu vlastného zariadenia
Certifikát vlastného zariadenia (CDC) môžete do telefónu nainštalovať manuálne nahraním certifikátu z webovej stránky správy telefónu.
Skôr než začnete
Pred inštaláciou certifikátu vlastného zariadenia do telefónu musíte mať:
- Súbor certifikátu (.p12 alebo .pfx) uložený v počítači. Súbor obsahuje certifikát a súkromný kľúč.
- Výpis hesla certifikátu. Heslo sa používa na dešifrovanie súboru certifikátu.
1 |
Prejdite na webovú stránku správy telefónu. |
2 |
Vyberte položku Certifikát. |
3 |
V časti Pridať certifikát kliknite na tlačidlo Prehľadávať.... |
4 |
V počítači vyhľadajte certifikát. |
5 |
Do poľa Extrahovať heslo zadajte heslo pre výpis certifikátu. |
6 |
Kliknite na položku Nahrať. Ak je súbor certifikátu a heslo správne, zobrazí sa správa "
Certifikát bol pridaný. ". V opačnom prípade nahrávanie zlyhá s chybovým hlásením oznamujúcim, že certifikát nie je možné nahrať. |
7 |
Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na tlačidlo Zobraziť v časti Existujúce certifikáty . |
8 |
Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na položku Odstrániť v časti Existujúce certifikáty . Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.
Ak bude certifikát úspešne odstránený, zobrazí sa správa " |
Automatická inštalácia certifikátu vlastného zariadenia pomocou SCEP
Parametre protokolu SCEP (Simple Certificate Enrollment Protocol) môžete nastaviť na automatickú inštaláciu certifikátu vlastného zariadenia (CDC), ak nechcete manuálne nahrávať súbor certifikátu alebo nemáte súbor certifikátu.
Keď sú parametre SCEP správne nakonfigurované, telefón odosiela požiadavky na server SCEP a certifikát CA je overený zariadením pomocou definovaného odtlačku prsta.
Skôr než začnete
Pred vykonaním automatickej inštalácie certifikátu vlastného zariadenia pre telefón musíte mať:
- Adresa servera SCEP
- SHA-1 alebo SHA-256 odtlačok koreňového certifikátu CA pre server SCEP
1 |
Prejdite na webovú stránku správy telefónu. |
2 |
Vyberte položku Certifikát. |
3 |
V časti Konfigurácia SCEP 1 nastavte parametre podľa popisu v nasledujúcej tabuľke Parametre pre konfiguráciu SCEP. |
4 |
Kliknite na možnosť Odoslať všetky zmeny. |
Parametre pre konfiguráciu SCEP
Nasledujúca tabuľka definuje funkciu a použitie parametrov konfigurácie SCEP v časti Konfigurácia SCEP 1 pod záložkou Certifikát vo webovom rozhraní telefónu. Definuje tiež syntax reťazca, ktorý sa pridá do konfiguračného súboru telefónu (cfg.xml) na konfiguráciu parametra.
Parameter | Popis |
---|---|
Server |
Adresa servera SCEP. Tento parameter je povinný. Vykonajte jeden z nasledovných krokov:
Platné hodnoty: URL alebo IP adresa. Schéma HTTPS nie je podporovaná. Predvolené: prázdne |
Koreňový odtlačok CA |
SHA256 alebo SHA1 odtlačok koreňovej CA na overenie počas procesu SCEP. Tento parameter je povinný. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Heslo výzvy |
Heslo výzvy na autorizáciu Certificate Authority (CA) voči telefónu počas registrácie certifikátu cez SCEP. Tento parameter je voliteľný. Podľa aktuálneho prostredia SCEP sa správanie hesla výzvy líši.
Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Konfigurácia parametrov SCEP prostredníctvom možnosti DHCP 43
Okrem registrácie certifikátu SCEP pomocou manuálnych konfigurácií na webovej stránke telefónu môžete použiť aj možnosť DHCP 43 na vyplnenie parametrov z DHCP servera. Možnosť DHCP 43 je vopred nakonfigurovaná s parametrami SCEP, neskôr môže telefón načítať parametre zo servera DHCP na vykonanie registrácie certifikátu SCEP.
- Konfigurácia parametrov SCEP pomocou možnosti 43 DHCP je k dispozícii len pre telefón, v ktorom sa vykonáva obnovenie továrenských nastavení.
- Telefóny nesmú byť umiestnené v sieti, ktorá podporuje možnosť 43 aj vzdialené zriaďovanie (napríklad možnosti 66,160,159,150 alebo cloudové poskytovanie). V opačnom prípade sa môže stať, že telefóny nebudú mať konfigurácie možnosti 43.
Ak chcete zaregistrovať certifikát SCEP konfiguráciou parametrov SCEP v DHCP možnosť 43, postupujte nasledovne:
- Pripravte prostredie SCEP.
Informácie o nastavení prostredia SCEP nájdete v dokumentácii k serveru SCEP.
- Nastavte DHCP možnosť 43 (definovanú v 8.4 Informácie špecifické pre dodávateľa, RFC 2132).
Čiastkové možnosti (10–15) sú vyhradené pre metódu:
Parameter na webovej stránke telefónu Čiastková možnosť Typ Dĺžka (bajt) Povinný Režim FIPS 10 Boolean 1 Nie* Server 11 Reťazec 208 - dĺžka (heslo výzvy) Áno Koreňový odtlačok CA 12 binárny 20 alebo 32 Áno Heslo výzvy 13 Reťazec 208 - dĺžka (server) Nie* Povoliť overenie 802.1X 14 Boolean 1 Nie Vybrať certifikát 15 Nepodpísaná 8-bitová verzia 1 Nie Keď použijete možnosť DHCP 43, všimnite si nasledujúce charakteristiky metódy:
- Čiastkové možnosti (10 – 15) sú vyhradené pre certifikát vlastného zariadenia (CDC).
- Maximálna dĺžka možnosti 43 DHCP je 255 bajtov.
- Maximálna dĺžka hesla Server + výzva musí byť menšia ako 208 bajtov.
- Hodnota režimu FIPS musí byť konzistentná s konfiguráciou poskytovania pri zaradení. V opačnom prípade telefón nedokáže po zaradení načítať predtým nainštalovaný certifikát. Špeciálne
- Ak bude telefón zaregistrovaný v prostredí, v ktorom je vypnutý režim FIPS, nemusíte konfigurovať parameter FIPS Mode (Režim FIPS) v DHCP možnosti 43. Režim FIPS je predvolene vypnutý.
- Ak bude telefón zaregistrovaný v prostredí, v ktorom je povolený režim FIPS, musíte zapnúť režim FIPS v DHCP možnosti 43. Podrobnosti nájdete v časti Zapnutie režimu FIPS.
- Heslo v možnosti 43 je v nešifrovanom texte.
Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu a obnovenie certifikátu. Ak je nakonfigurované heslo výzvy, použije sa iba pre počiatočnú registráciu a nainštalovaný certifikát sa použije na obnovenie certifikátu.
- Povoliť overenie 802.1X a výber certifikátu sa používajú len pre telefóny v káblovej sieti.
- DHCP možnosti 60 (Identifikátor triedy dodávateľa) sa používa na identifikáciu modelu zariadenia.
V nasledujúcej tabuľke je uvedený príklad možnosti DHCP 43 (čiastkové možnosti 10 – 15):
Čiastková možnosť desatinné/hexadecimálne Dĺžka hodnoty (bajt) desatinné/hexadecimálne Hodnota Hexadecimálna hodnota 10/0a 1/01 1 (0: Vypnuté; 1: Povolené) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nie; 1: Áno) 01 15/0f 1/01 1 (0: Nainštalovaná výroba; 1: Nainštalovaná na mieru) 01 Súhrn hodnôt parametrov:
-
Režim FIPS =
povolený
-
Server =
http://10.79.57.91
-
Koreňový odtlačok CA =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Heslo výzvy =
D233CCF9B9952A15
-
Povoliť overenie 802.1X =
Áno
-
Výber certifikátu =
Vlastné nainštalované
Syntax konečnej hexadecimálnej hodnoty je:
{<suboption><length><value>}...
Podľa vyššie uvedených hodnôt parametrov je konečná hexadecimálna hodnota nasledovná:
0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Nakonfigurujte možnosť 43 DHCP na serveri DHCP.Tento krok poskytuje príklad DHCP konfigurácie možnosti 43 v registri siete Cisco.
- Pridajte DHCP množinu definícií možností.
Reťazec možností dodávateľa je názov modelu IP telefónov. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 alebo CP-8875.
- Pridajte DHCP možnosť 43 a vedľajšie možnosti do množiny definícií možností DHCP.
Príklad:
- Pridajte možnosti 43 do politiky DHCP a nastavte hodnotu takto:
Príklad:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- Overte nastavenia. Wireshark môžete použiť na zachytenie stopy sieťovej prevádzky medzi telefónom a službou.
- Pridajte DHCP množinu definícií možností.
- Vykonajte obnovenie výrobných nastavení telefónu.
Po resetovaní telefónu sa automaticky vyplnia parametre Server, Root CA Fingerprint a Challenge Password . Tieto parametre sa nachádzajú v časti SCEP Konfigurácia 1 z na webovej stránke správy telefónu.
Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na tlačidlo Zobraziť v časti Existujúce certifikáty .
Ak chcete skontrolovať stav inštalácie certifikátu, vyberte Certificate preberania 1 zobrazuje najnovší výsledok. Ak sa počas registrácie certifikátu vyskytne nejaký problém, stav sťahovania môže ukázať dôvod problému na účely riešenia problémov.
. StavAk overenie heslom výzvy zlyhá, používatelia budú vyzvaní na zadanie hesla na obrazovke telefónu. - (Voliteľné): Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na Odstrániť v časti Existujúce certifikáty .Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.
Obnovenie certifikátu SCEP
Certifikát zariadenia je možné automaticky obnoviť procesom SCEP.
- Telefón každé 4 hodiny kontroluje, či platnosť certifikátu vyprší o 15 dní. Ak áno, telefón automaticky spustí proces obnovenia certifikátu.
- Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu aj obnovenie certifikátu. Ak je heslo výzvy nakonfigurované, používa sa iba na počiatočnú registráciu, existujúci/nainštalovaný certifikát sa použije na obnovenie certifikátu.
- Telefón neodstráni starý certifikát zariadenia, kým nenačíta nový.
- Ak obnovenie certifikátu zlyhá, pretože vyprší platnosť certifikátu zariadenia alebo certifikačnej autority, telefón automaticky spustí počiatočnú registráciu. Medzitým, ak overenie hesla výzvy zlyhá, na obrazovke telefónu sa zobrazí obrazovka na zadanie hesla a používatelia sú vyzvaní, aby na telefóne zadali heslo výzvy.
Zapnutie režimu FIPS
Telefón môžete nastaviť tak, aby bol v súlade s federálnymi normami na spracovanie informácií (FIPS).
FIPS je súbor štandardov, ktoré popisujú spracovanie dokumentov, šifrovacie algoritmy a ďalšie štandardy informačných technológií pre použitie v rámci nevojenskej vlády a vládnymi dodávateľmi a dodávateľmi, ktorí spolupracujú s agentúrami. CiscoSSL FOM (FIPS Object Module) je starostlivo definovaný softvérový komponent navrhnutý na kompatibilitu s knižnicou CiscoSSL, takže produkty využívajúce knižnicu CiscoSSL a API je možné konvertovať na používanie kryptografie overenej podľa normy FIPS 140-2 s minimálnym úsilím.
1 |
Prejdite na webovú stránku správy telefónu. |
2 |
Vyberte položku . |
3 |
V časti Nastavenie zabezpečenia vyberte z parametra režimu FIPS možnosť Áno alebo Nie . |
4 |
Kliknite na možnosť Odoslať všetky zmeny. Po zapnutí FIPS budú v telefóne bez problémov fungovať nasledujúce funkcie:
|
Manuálne odstránenie certifikátu zabezpečenia
Certifikát zabezpečenia môžete z telefónu odstrániť manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).
1 |
Na webovej stránke správy telefónu vyberte položku Certifikáty. |
2 |
Vyhľadajte certifikát na stránke Certifikáty . |
3 |
Kliknite na položku Odstrániť. |
4 |
Po dokončení procesu odstránenia reštartujte telefón. |
Nastavenie hesla používateľa a správcu
Po prvej registrácii telefónu do systému riadenia hovorov alebo po obnovení výrobných nastavení telefónu musíte nastaviť heslo používateľa a správcu, aby sa zvýšila bezpečnosť telefónu. Iba ak je nastavené heslo, môžete odoslať zmeny z webovej stránky telefónu.
V predvolenom nastavení je v telefóne zapnuté upozornenie bez hesla. Ak telefón nemá žiadne používateľské ani správcovské heslo, zobrazia sa nasledujúce upozornenia:
- Na webovej stránke telefónu sa zobrazí text "Nie je poskytnuté žiadne heslo správcu. Web je v režime iba na čítanie a nemôžete odosielať zmeny. Zmeňte heslo." v ľavom hornom rohu.
V poliach Heslo používateľa a Heslo správcu sa zobrazuje upozornenie "Nie je poskytnuté žiadne heslo", ak je prázdne.
- Na obrazovke telefónu Problémy a diagnostika sa zobrazuje problém Bez poskytnutia hesla.
1 |
Prístup na webovú stránku správy telefónu |
2 |
Vyberte položku . |
3 |
(Voliteľné) V časti Konfigurácia systému nastavte parameter Upozornenia na heslo zobrazenia na hodnotu Áno a potom kliknite na tlačidlo Odoslať všetky zmeny. Môžete tiež povoliť parametre v konfiguračnom súbore telefónu (cfg.xml).
Predvolená hodnota: Áno Možnosti: Áno|Nie Keď je parameter nastavený na hodnotu Nie, upozornenie na heslo sa nezobrazí na webovej stránke ani na obrazovke telefónu. Režim iba pripravenosti pre web stránky sa tiež neaktivuje, aj keď je heslo prázdne. |
4 |
Vyhľadajte parameter Používateľské heslo alebo Heslo správcu a kliknite na položku Zmeniť heslo vedľa parametra. |
5 |
Zadajte aktuálne používateľské heslo do poľa Staré heslo . Ak heslo nemáte, nechajte pole prázdne. Predvolená hodnota je prázdna.
|
6 |
Zadajte nové heslo do poľa Nové heslo . |
7 |
Kliknite na tlačidlo Odoslať. Na webovej stránke sa zobrazí správa Po nastavení hesla používateľa zobrazí tento parameter v súbore konfigurácie telefónu XML (cfg.xml) nasledovné:
Ak sa pri pokuse o prístup na webovú stránku telefónu zobrazí kód chyby 403, musíte nastaviť heslo používateľa alebo správcu poskytnutím v konfiguračnom súbore telefónu (cfg.xml). Zadajte napríklad reťazec v tomto formáte:
|
Overenie 802.1X
Cisco IP Phones podporuje autentifikáciu 802.1X.
Prepínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.
Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.
Podpora overovania 802.1X vyžaduje niekoľko komponentov:
-
Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosepplikanta telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.
-
Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.
-
Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.
Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.
-
Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.
-
Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.
-
Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.
Ďalšie informácie o podpore štandardu IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínačov Cisco Catalyst na adrese:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.
-
- Konfigurovať hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
- Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete pokračovať v používaní hlasovej siete VLAN.
- Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, zakážte hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
- (Len pre stolový telefón Cisco Phone 9800 Series)
Telefón Cisco Desk Phone 9800 Series má v PID inú predvoľbu ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho telefónu Cisco Desk Phone 9800 Series.
Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na
začiatok na DP
aleboobsahuje DP.
Môžete ho nastaviť v oboch nasledujúcich častiach: -
Zapnutie overovania 802.1X
Keď je povolené overovanie 802.1X, telefón používa overenie 802.1X na vyžiadanie prístupu k sieti. Keď je autentifikácia 802.1X vypnutá, telefón používa Cisco Discovery Protocol (CDP) na získanie prístupu VLAN a k sieti. Stav a zmenu transakcie si môžete pozrieť aj v ponuke na obrazovke telefónu.
Keď je povolené overovanie 802.1X, môžete tiež vybrať certifikát zariadenia (MIC/SUDI alebo vlastný) pre počiatočnú registráciu a obnovenie certifikátu. Zvyčajne MIC pre Cisco Video Phone 8875, SUDI pre Cisco Desk Phone 9800 Series. CDC je možné použiť na overenie iba v štandarde 802.1x.
1 |
Ak chcete povoliť overenie 802.1X, vykonajte jednu z nasledujúcich akcií:
| ||||||||||||||||||||
2 |
Vyberte certifikát (MIC alebo vlastný) pre overenie 802.1X na webovej stránke telefónu.
Informácie o výbere typu certifikátu na obrazovke telefónu sa nachádzajú v téme Pripojenie telefónu k sieti Wi-Fi.
|
Nastavenie servera proxy
Telefón môžete nakonfigurovať tak, aby používal server proxy na zvýšenie zabezpečenia. Server HTTP proxy môže zvyčajne poskytovať nasledujúce služby:
- Smerovanie prevádzky medzi internými a externými sieťami
- Filtrovanie, monitorovanie alebo zaznamenávanie návštevnosti
- Odpovede ukladania do vyrovnávacej pamäte na zlepšenie výkonu
Server HTTP proxy môže tiež fungovať ako brána firewall medzi telefónom a internetom. Po úspešnej konfigurácii sa telefón pripojí k internetu prostredníctvom proxy servera, ktorý chráni telefón pred kybernetickým útokom.
Po nakonfigurovaní sa funkcia HTTP proxy vzťahuje na všetky aplikácie, ktoré používajú protokol HTTP. Príklad:
- GDS (Activation Code Onboarding)
- Aktivácia zariadenia EDOS
- Onboarding do Webex cloudu (cez EDOS alebo GDS)
- Vlastná certifikačná autorita
- Poskytovanie
- Zvýšenie verzie firmvéru
- Správa o stave telefónu
- Nahrať PRT
- Služby XSI
- Webex služby
1 |
Prejdite na webovú stránku správy telefónu. | ||||||||||||||||
2 |
Vyberte položku . | ||||||||||||||||
3 |
V časti Nastavenie HTTP Proxy vyberte z roletového zoznamu Režim proxy režim a nakonfigurujte súvisiace parametre. Pre každý režim proxy sú požadované parametre odlišné. Podrobnosti nájdete v nasledujúcej tabuľke:
Ďalšie informácie o parametroch nájdete v téme Parametre pre nastavenie HTTP proxy. | ||||||||||||||||
4 |
Kliknite na možnosť Odoslať všetky zmeny. |
Parametre pre nastavenia HTTP proxy
Nasledujúca tabuľka definuje funkciu a použitie parametrov HTTP proxy v časti Nastavenia HTTP Proxy na vo webovom rozhraní telefónu. Definuje tiež syntax reťazca, ktorý sa pridá do konfiguračného súboru telefónu (cfg.xml) s XML kódom na konfiguráciu parametra.
Parameter | Popis |
---|---|
Režim servera proxy | Určuje režim HTTP proxy, ktorý telefón používa, alebo zakáže funkciu HTTP proxy.
Vykonajte jeden z nasledovných krokov:
Povolené hodnoty: Automaticky, Manuálne a Vypnuté Predvolené nastavenie: vypnuté |
Automatické zisťovanie webového servera proxy | Určuje, či telefón používa na načítanie súboru PAC protokol WPAD (Web Proxy Auto Discovery). Protokol WPAD používa DHCP, DNS alebo oba sieťové protokoly na automatické vyhľadanie súboru automatickej konfigurácie servera proxy (PAC). Súbor PAC sa používa na výber proxy servera pre danú adresu URL. Tento súbor môže byť hosťovaný lokálne alebo v sieti.
Vykonajte jeden z nasledovných krokov:
Povolené hodnoty: Áno a Nie Predvolená hodnota: Áno |
ADRESA PAC | URL súboru PAC. Príklad: Podporované sú TFTP, HTTP a HTTPS. Ak nastavíte režim servera proxy na možnosť Automatické zisťovanie a automatické zisťovanie webového servera proxy na hodnotu Nie , musíte tento parameter nakonfigurovať. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Hostiteľ servera proxy | IP adresu alebo názov hostiteľa servera proxy hostiteľa, ku ktorému má telefón získať prístup. Príklad:
Schéma ( Ak nastavíte režim servera proxy na možnosť Manuálne , musíte tento parameter nakonfigurovať. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Port servera proxy | Číslo portu hostiteľského servera proxy. Ak nastavíte režim servera proxy na možnosť Manuálne , musíte tento parameter nakonfigurovať. Vykonajte jeden z nasledovných krokov:
Predvolené: 3128 |
Overenie serverom proxy | Určuje, či používateľ musí poskytnúť autentifikačné poverenia (meno používateľa a heslo), ktoré vyžaduje server proxy. Tento parameter sa konfiguruje podľa aktuálneho správania proxy servera. Ak nastavíte parameter na hodnotu Áno, musíte nakonfigurovať meno používateľa a heslo. Podrobnosti o parametroch nájdete v parametri "Používateľské meno" a "Heslo" v tejto tabuľke. Konfigurácia parametrov sa prejaví, keď je režim proxy nastavený na možnosť Manuálne . Vykonajte jeden z nasledovných krokov:
Povolené hodnoty: Áno a Nie Predvolené: Nie |
Meno používateľa | Meno používateľa poverenia na serveri proxy. Ak je režim servera proxy nastavený na možnosť Manuálne a overenie servera proxy je nastavené na hodnotu Áno, musíte nakonfigurovať parameter. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Heslo | Heslo zadaného používateľského mena na účely autentifikácie servera proxy. Ak je režim servera proxy nastavený na možnosť Manuálne a overenie servera proxy je nastavené na hodnotu Áno, musíte nakonfigurovať parameter. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Povoliť režim iniciovaný klientom pre rokovania o bezpečnosti mediálnej roviny
Ak chcete chrániť relácie médií, môžete telefón nakonfigurovať tak, aby inicioval rokovania o zabezpečení mediálneho lietadla so serverom. Bezpečnostný mechanizmus sa riadi normami uvedenými v RFC 3329 a jeho rozšíreným návrhom názvov bezpečnostných mechanizmov pre médiá (pozri https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Na prepravu rokovaní medzi telefónom a serverom je možné použiť protokol SIP cez UDP, TCP a TLS. Môžete obmedziť, že vyjednávanie o bezpečnosti mediálnej roviny sa použije len vtedy, keď je TLS signalizačný prenosový protokol.
1 |
Prejdite na webovú stránku správy telefónu. | ||||||
2 |
Vyberte položku . | ||||||
3 |
V časti Nastavenia protokolu SIP nastavte polia MediaSec Request a MediaSec Over TLS Only , ako je definované v nasledujúcej tabuľke:
| ||||||
4 |
Kliknite na možnosť Odoslať všetky zmeny. |
Zabezpečenie WLAN
Keďže všetky WLAN zariadenia, ktoré sú v dosahu, môžu prijímať všetky ostatné WLAN prevádzky, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Riešenie bezdrôtovej IP telefónie Cisco poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:
-
Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.
-
Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).
Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa TLS tunel. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.
V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.
-
Autentifikácia Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) (Extensible Authentication Protocol-): EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtových EAP-TLS môže byť klientskym certifikátom certifikát MIC, LSC alebo certifikát nainštalovaný používateľom.
-
Protected Extensible Authentication Protocol (PEAP): proprietárna schéma vzájomnej autentifikácie založená na hesle spoločnosti Cisco medzi klientom (telefónom) a serverom RADIUS. Telefón môže používať PEAP na overenie v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.
-
Predzdieľaný kľúč (PSK): Telefón podporuje ASCII formát. Tento formát musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA/WPA2/SAE:
ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)
Príklad: GREG123567@9ZX&W
Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:
-
WPA/WPA2/WPA3: Používa informácie zo servera RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.
-
Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu. Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 podporujú štandard 802.11r (FT). Podporované sú vzduchom aj DS, ktoré umožňujú rýchly a bezpečný roaming. Dôrazne však odporúčame použiť metódu 802.11r (FT) nad vzduchom.
Pri použití WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Na každom telefóne však musí byť zadané EAP používateľské meno a heslo, ktoré sa používajú na overenie.
Aby bola hlasová prevádzka bezpečná, telefón podporuje šifrovanie TKIP a AES. Keď sa na šifrovanie používajú tieto mechanizmy, medzi prístupovým bodom a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety protokolu prenosu v reálnom čase (RTP).
- TKIP
-
WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčom pre každý paket a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zabezpečuje, že šifrované pakety sa nemenia. TKIP odstraňuje predvídateľnosť WEP, ktorá pomáha votrelcom dešifrovať kľúč WEP.
- AES
-
Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje minimálne veľkosti kľúčov 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.
Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 nepodporujú protokol Cisco Key Integrity Protocol (CKIP) s protokolom CMIC.
Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.
Niektoré schémy overovania vyžadujú špecifické typy šifrovania.
- Ak používate WPA predzdieľaný kľúč, kľúč WPA2 predzdieľaný alebo SAE, predzdieľaný kľúč musí byť staticky nastavený v telefóne. Tieto klávesy sa musia zhodovať s klávesmi, ktoré sú na prístupovom bode.
-
Telefón podporuje automatické vyjednávanie EAP pre FAST alebo PEAP, ale nie pre TLS. Pre EAP-TLS režim ho musíte zadať.
Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktorá zodpovedá konfigurácii prístupového bodu.
Typ FSR | Overovanie | Správa kľúčov | Šifrovanie | Chránený rámec správy (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nie |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Áno |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nie |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
Nastavenie Wi-Fi profilu
Profil Wi-Fi môžete nakonfigurovať z webovej stránky telefónu alebo zo stránky opätovnej synchronizácie profilu vzdialeného zariadenia a potom priradiť profil k dostupným sieťam Wi-Fi. Tento profil Wi-Fi môžete použiť na pripojenie k sieti Wi-Fi. V súčasnosti je možné nakonfigurovať iba jeden profil Wi-Fi.
Profil obsahuje parametre potrebné na to, aby sa telefóny mohli pripojiť k serveru telefónu cez pripojenie Wi-Fi. Keď vytvoríte a používate profil Wi-Fi, vy ani vaši používatelia nemusíte konfigurovať bezdrôtovú sieť pre jednotlivé telefóny.
Profil Wi-Fi umožňuje zakázať alebo obmedziť zmeny v konfigurácii Wi-Fi na telefóne zo strany používateľov.
Pri používaní profilu Wi-Fi odporúčame používať zabezpečený profil s protokolmi s povoleným šifrovaním na ochranu kľúčov a hesiel.
Keď nastavíte telefóny na používanie metódy overovania EAP-FAST v režime zabezpečenia, vaši používatelia budú na pripojenie k prístupovému bodu potrebovať individuálne poverenia.
1 |
Prejdite na webovú stránku telefónu. |
2 |
Vyberte položku . |
3 |
V časti Wi-Fi Profil (n) nastavte parametre popísané v nasledujúcej tabuľke Parametre pre Wi-Fi profil. Konfigurácia profilu Wi-Fi je k dispozícii aj na prihlásenie používateľa.
|
4 |
Kliknite na možnosť Odoslať všetky zmeny. |
Parametre profilu Wi-Fi
Nasledovná tabuľka definuje funkcie a použitie každého parametra v sekcii Wi-Fi profil(n) na karte Systém na webovej stránke telefónu. Definuje tiež syntax reťazca, ktorý sa pridá do konfiguračného súboru telefónu (cfg.xml) na konfiguráciu parametra.
Parameter | Popis |
---|---|
Názov siete | Umožňuje zadať názov SSID, ktorý sa bude zobrazovať v telefóne. Viaceré profily môžu mať rovnaký názov siete s rôznymi režimami zabezpečenia. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Režim zabezpeč. | Umožňuje vybrať režim overenia používaný na zabezpečenie prístupu k sieti Wi-Fi. V závislosti od vybratého spôsobu sa zobrazí pole hesla, aby ste mohli zadať poverenia potrebné na pripojenie k tejto Wi-Fi sieti. Vykonajte jeden z nasledovných krokov:
Predvolená hodnota: Automaticky |
ID používateľa siete Wi-Fi | Umožňuje zadať ID užívateľa pre profil siete. Toto pole je k dispozícii, keď režim zabezpečenia nastavíte na možnosť Auto, EAP-FAST alebo EAP-PEAP. Toto je povinné pole s maximálnou dĺžkou 32 alfanumerických znakov. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Heslo pre sieť Wi-Fi | Umožňuje zadať heslo pre zadané ID používateľa Wi-Fi. Vykonajte jeden z nasledovných krokov:
Predvolené: prázdne |
Frekvenčné pásmo | Umožňuje vybrať frekvenčné pásmo signálu bezdrôtového prenosu v sieti WLAN. Vykonajte jeden z nasledovných krokov:
Predvolená hodnota: Automaticky |
Vybrať certifikát | Umožňuje vybrať typ certifikátu pre počiatočnú registráciu certifikátu a obnovenie certifikátu v bezdrôtovej sieti. Tento proces je k dispozícii len pre overenie 802.1X. Vykonajte jeden z nasledovných krokov:
Predvolené nastavenie: Výroba je nainštalovaná |
Kontrola stavu zabezpečenia zariadenia v telefóne
Telefón automaticky kontroluje stav zabezpečenia zariadenia. Ak sa v telefóne zistia potenciálne bezpečnostné hrozby, v ponuke Problémy a diagnostika sa môžu zobraziť podrobnosti o problémoch. Na základe nahlásených problémov môže správca vykonať operácie na zabezpečenie a upevnenie telefónu.
Ak chcete zobraziť podrobnosti o problémoch so zabezpečením telefónu, postupujte takto:
1 |
Stlačte tlačidlo Nastavenia | |||||||||||||
2 |
Vyberte položku .Správa o zabezpečení zariadenia v súčasnosti obsahuje nasledujúce problémy:
| |||||||||||||
3 |
Požiadajte správcu o podporu pri riešení problémov so zabezpečením. |