- Domov
- /
- Článok
Tento článok Pomocníka je určený pre Cisco bezdrôtový telefón 9821 registrovaný na Cisco Unified Communications Manager (Unified CM).
Aplikácii Cisco Unified Communications Manager (Unified CM) môžete povoliť prevádzku v prostredí so zvýšeným zabezpečením. Vďaka týmto vylepšeniam funguje vaša telefónna sieť pod súborom prísnych kontrolných mechanizmov zabezpečenia a riadenia rizík, ktoré chránia vás a vašich používateľov.
Prostredie zvýšeného zabezpečenia zahŕňa nasledujúce funkcie:
-
Overenie vyhľadávania kontaktov
-
TCP ako predvolený protokol pre vzdialené protokolovanie auditu
-
Vylepšené zásady poverení
-
Podpora rodiny hash SHA-2 pre digitálne podpisy
-
Podpora veľkosti kľúča RSA až 4096 bitov
S Cisco Unified CM Release 14.0 alebo novším telefóny podporujú autentifikáciu SIP OAuth.
OAuth je podporovaný pre Proxy Trivial File Transfer Protocol (TFTP) s Cisco Unified CM Release 14.0 (1) SU1 alebo novším.
Ďalšie informácie o zabezpečení nájdete v nasledovných príručkách:
-
Sprievodca konfiguráciou systému pre Cisco Unified Communications Manager, vydanie 15 a SUs
-
Bezpečnostná príručka pre Cisco Unified Communications Manager, vydanie 15 a SU
Do telefónu je možné uložiť len obmedzený počet súborov zoznamu dôveryhodných identít (ITL). Súbory ITL nemôžu v telefóne prekročiť 64K, takže obmedzte počet súborov, ktoré Cisco Unified CM odosiela do telefónu.
Podporované funkcie zabezpečenia
Bezpečnostné funkcie chránia pred hrozbami vrátane ohrozenia identity telefónu a údajov. Tieto funkcie vytvárajú a udržiavajú overené komunikačné toky medzi telefónom a Cisco Unified Communications Manager server a zabezpečujú, že telefón používa iba digitálne podpísané súbory.
Cisco Unified Communications Manager Release 8.5 (1) a novšie verzie obsahujú predvolené zabezpečenie, ktoré poskytuje nasledujúce funkcie zabezpečenia pre Cisco IP Phones bez spustenia klienta CTL:
-
Podpisovanie konfiguračných súborov telefónu
-
Šifrovanie konfiguračného súboru telefónu
-
HTTPS so službou Tomcat a ďalšími webovými službami
Zabezpečená signalizácia a mediálne funkcie stále vyžadujú, aby ste spustili klienta CTL a používali hardvérové eTokeny.
Implementácia zabezpečenia v Cisco Unified Communications Manager system zabraňuje krádeži identity telefónu a Cisco Unified Communications Manager server, zabraňuje manipulácii s údajmi a zabraňuje signalizácii hovoru a manipulácii s mediálnym tokom.
Na zmiernenie týchto hrozieb telefónna sieť Cisco IP vytvára a udržiava bezpečné (šifrované) komunikačné toky medzi telefónom a serverom, digitálne podpisuje súbory pred ich prenosom do telefónu a šifruje mediálne toky a signalizáciu hovorov medzi Cisco IP Phones.
A Locally Significant Certificate (LSC) sa nainštaluje do telefónov po vykonaní potrebných úloh, ktoré sú priradené k certificate authority proxy function (CAPF). Pomocou Cisco Unified Communications Manager Administration môžete nakonfigurovať LSC, ako je popísané v príručke Cisco Unified Communications Manager zabezpečenia. Prípadne môžete spustiť inštaláciu LSC z ponuky Zabezpečenie v telefóne. Táto ponuka vám tiež umožňuje aktualizovať alebo odstrániť LSC.
Telefóny používajú profil zabezpečenia telefónu, ktorý definuje, či je zariadenie nezabezpečené alebo zabezpečené. Informácie o použití profilu zabezpečenia v telefóne nájdete v dokumentácii k konkrétnemu vydaniu Cisco Unified Communications Manager.
Ak nastavenia týkajúce sa zabezpečenia nakonfigurujete v Cisco Unified Communications Manager Administration, konfiguračný súbor telefónu bude obsahovať citlivé informácie. Ak chcete zabezpečiť súkromie konfiguračného súboru, musíte ho nakonfigurovať na šifrovanie. Podrobné informácie nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified Communications Manager.
Nasledujúca tabuľka poskytuje prehľad funkcií zabezpečenia, ktoré telefóny podporujú. Ďalšie informácie nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified Communications Manager.
|
Funkcia |
Popis |
|---|---|
|
Autentifikácia obrazu |
Podpísané binárne súbory zabraňujú manipulácii s obrazom firmvéru pred načítaním obrázka do telefónu. Manipulácia s obrázkom spôsobí, že telefón zlyhá v procese overenia a odmietne nový obrázok. |
|
Inštalácia certifikátu zákazníckeho pracoviska |
Každý Cisco IP Phone vyžaduje jedinečný certifikát na overenie zariadenia. Telefóny obsahujú certifikát s inštaláciou výroby (MIC), ale pre zvýšenie bezpečnosti môžete inštaláciu certifikátu zadať v Cisco Unified Communications Manager Administration pomocou certificate authority proxy function (CAPF). Prípadne môžete nainštalovať Locally Significant Certificate (LSC) z ponuky Zabezpečenie v telefóne. |
|
Overenie zariadenia |
Vyskytuje sa medzi Cisco Unified Communications Manager server a telefónom, keď každá entita prijme certifikát druhej entity. Určuje, či by malo dôjsť k zabezpečenému pripojeniu medzi telefónom a Cisco Unified Communications Manager; a v prípade potreby vytvorí bezpečnú signalizačnú cestu medzi entitami pomocou protokolu TLS. Cisco Unified Communications Manager neregistruje telefóny, pokiaľ ich nedokáže overiť. |
|
Overenie súboru |
Overuje digitálne podpísané súbory, ktoré telefón stiahne. Telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania. |
|
Šifrovanie súborov |
Šifrovanie zabraňuje odhaleniu citlivých informácií počas prenosu súboru do telefónu. Okrem toho telefón overí podpis, aby sa ubezpečil, že po vytvorení súboru nedošlo k manipulácii so súbormi. Súbory, ktoré zlyhajú pri overení, sa nezapíšu do pamäte flash v telefóne. Telefón takéto súbory odmietne bez ďalšieho spracovania. |
|
Autentifikácia signalizácie |
Používa protokol TLS na overenie, či počas prenosu nedošlo k žiadnej manipulácii so signalizačnými paketmi. |
|
Certifikát nainštalovanej výroby |
Každý Cisco IP Phone obsahuje jedinečný výrobný nainštalovaný certifikát (MIC), ktorý sa používa na overenie zariadenia. MIC poskytuje trvalý jedinečný dôkaz totožnosti telefónu a umožňuje Cisco Unified Communications Manager overiť telefón. |
|
Šifrovanie médií |
Používa SRTP na zabezpečenie toho, aby sa streamy médií medzi podporovanými zariadeniami ukázali ako bezpečné a aby údaje prijímalo a čítalo iba určené zariadenie. Zahŕňa vytvorenie páru primárnych kľúčov médií pre zariadenia, doručenie kľúčov zariadeniam a zabezpečenie doručenia kľúčov počas prenosu kľúčov. |
|
CAPF (Certificate Authority Proxy Function) |
Implementuje časti postupu generovania certifikátov, ktoré sú pre telefón príliš náročné na spracovanie, a komunikuje s telefónom pri generovaní kľúčov a inštalácii certifikátov. CAPF je možné nakonfigurovať tak, aby v mene telefónu požadoval certifikáty od certifikačných autorít určených zákazníkom, alebo ho možno nakonfigurovať na lokálne generovanie certifikátov. Podporované sú oba typy klávesov EC (eliptická krivka) a RSA. Ak chcete použiť kľúč EC, uistite sa, že je povolený parameter "Endpoint Advanced Encryption Algorithms Support" (z parametra Enterprise). Ďalšie informácie o CAPF a súvisiacich konfiguráciách nájdete v nasledujúcich dokumentoch: |
|
Profil zabezpečenia |
Definuje, či je telefón nezabezpečený, overený, šifrovaný alebo chránený. Ďalšie položky v tejto tabuľke popisujú funkcie zabezpečenia. |
|
Šifrované konfiguračné súbory |
Umožňuje zabezpečiť súkromie konfiguračných súborov telefónu. |
|
Voliteľné vypnutie webového servera pre telefón |
Z bezpečnostných dôvodov môžete zabrániť prístupu na webové stránky telefónu (ktoré zobrazujú rôzne prevádzkové štatistiky telefónu) a portálu samoobsluhy. |
|
Kalenie telefónu |
Ďalšie možnosti zabezpečenia, ktoré ovládate z Cisco Unified Communications Manager Administration:
|
|
Secure SIP Failover pre SRST |
Po nakonfigurovaní referencie Survivable Remote Site Telephony (SRST) z bezpečnostných dôvodov a následnom resetovaní závislých zariadení v Cisco Unified Communications Manager Administration server TFTP pridá certifikát SRST do súboru CNF.XML telefónu a odošle súbor do telefónu. Zabezpečený telefón potom používa pripojenie TLS na interakciu so smerovačom s podporou SRST. |
|
Signalizačné šifrovanie |
Zaisťuje, že všetky signalizačné správy SIP, ktoré sa odosielajú medzi zariadením a Cisco Unified Communications Manager server, sú šifrované. |
|
Alarm aktualizácie zoznamu certifikátov |
Keď sa zoznam dôveryhodných certifikátov aktualizuje v telefóne, Cisco Unified Communications Manager dostane alarm, ktorý indikuje úspech alebo neúspech aktualizácie. Ďalšie informácie nájdete v nasledujúcej tabuľke. |
|
AES 256 Šifrovanie |
Pri pripojení k Cisco Unified Communications Manager Release 10.5 (2) a novším telefóny podporujú podporu šifrovania AES 256 pre TLS a SIP pre signalizáciu a šifrovanie médií. To umožňuje telefónom iniciovať a podporovať pripojenia TLS 1.2 pomocou šifier založených na AES-256, ktoré vyhovujú štandardom SHA-2 (Secure Hash Algorithm) a sú v súlade s federálnymi štandardmi spracovania informácií (FIPS). Šifry zahŕňajú:
Ďalšie informácie nájdete v dokumentácii Cisco Unified Communications Manager. |
|
Certifikáty algoritmu digitálneho podpisu eliptickej krivky (ECDSA) |
V rámci certifikácie Common Criteria (CC) Cisco Unified Communications Manager; pridané certifikáty ECDSA vo verzii 11.0. Týka sa to všetkých produktov hlasového operačného systému (VOS) so systémom CUCM 11.5 a novšími verziami. |
|
Certifikát Tomcat s viacerými servermi (SAN) s Cisco UCM | Telefón podporuje Cisco UCM s nakonfigurovanými certifikátmi Tomcat (Multi-server (SAN). Správnu adresu servera TFTP nájdete v súbore ITL telefónu na registráciu telefónu. Ďalšie informácie o tejto funkcii nájdete v týchto témach: |
Nasledujúca tabuľka obsahuje informácie o aktualizácii zoznamu dôveryhodných, výstražných hláseniach a význame. Ďalšie informácie nájdete v dokumentácii Cisco Unified Communications Manager.
| Kód a správa | Popis |
|---|---|
|
1 - TL_SUCCESS |
Prijaté nové CTL a / alebo ITL |
|
2 - CTL_INITIAL_SUCCESS |
Prijaté nové CTL, žiadna existujúca TL |
|
3 - ITL_INITIAL_SUCCESS |
Prijaté nové ITL, žiadna existujúca TL |
|
4 - TL_INITIAL_SUCCESS |
Prijaté nové CTL a ITL, žiadne existujúce TL |
|
5 - TL_FAILED_OLD_CTL |
Aktualizácia na novú CTL zlyhala, ale má predchádzajúcu TL |
|
6 - TL_FAILED_NO_TL |
Aktualizácia na novú TL zlyhala a nemáte žiadnu starú TL |
|
7 - TL_FAILED |
Všeobecné zlyhanie |
|
8 - TL_FAILED_OLD_ITL |
Aktualizácia na nový ITL zlyhal, ale má predchádzajúcu TL |
|
9 - TL_FAILED_OLD_TL |
Aktualizácia na novú TL zlyhala, ale mala predchádzajúcu TL |
Zabezpečenie telefonických hovorov
Keď je implementované zabezpečenie telefónu, môžete identifikovať zabezpečené telefónne hovory podľa ikon na obrazovke telefónu. Zabezpečenie a ochranu pripojeného telefónu môžete určiť aj vtedy, ak sa na začiatku hovoru ozve tón zabezpečenia.
Pri zabezpečenom hovore sú všetky signalizácie hovorov a prúdy mediálnych údajov šifrované. Zabezpečený hovor ponúka vysokú úroveň zabezpečenia a poskytuje integritu a súkromie hovoru. Keď je prebiehajúci hovor šifrovaný, zobrazí sa ikona zabezpečeného hovoru
Na linke.
-
Ak je hovor smerovaný cez spoje bez použitia protokolu IP, napríklad prostredníctvom verejnej telefónnej siete (PSTN), hovor môže byť nezabezpečený, aj keď je šifrovaný v rámci siete IP a je k nemu priradená ikona zámku.
-
Zabezpečené volanie je podporované iba pre pripojenia medzi dvoma telefónmi. Niektoré funkcie, napríklad konferenčné hovory a zdieľané linky, nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné.
V Cisco Unified Communications Manager možno telefónom nakonfigurovaným ako bezpečné (šifrované a dôveryhodné) priradiť chránený stav. Po ochrane môžu byť tieto zariadenia nakonfigurované tak, aby na začiatku každého hovoru prehrávali bezpečnostný tón.
-
Chránené zariadenie:
Zmena stavu zabezpečeného telefónu na chránený:
- V Cisco Unified Communications Manager Administration vyberte položku .
- Nájdite telefón, ktorý nastavíte.
- V okne Konfigurácia telefónu začiarknite políčko Chránené zariadenie .
- Kliknite na položku Uložiť.
-
Prehrať bezpečný indikačný tón:
Povolenie prehrávania zabezpečeného alebo nezabezpečeného indikačného tónu v chránenom telefóne:
- V Cisco Unified Communications Manager Administration vyberte položku služby.
- Vyberte server a potom službu Cisco CallManager .
- V oblasti Clusterwide Parameters (Feature – Secure Tone) ) nastavte položku Tón prehrávania na indikáciu stavu zabezpečeného alebo nezabezpečeného hovoru na hodnotu True.
- Kliknite na položku Uložiť.
Bezpečná identifikácia konferenčného hovoru
Môžete iniciovať bezpečný konferenčný hovor a monitorovať úroveň zabezpečenia účastníkov. Zabezpečený konferenčný hovor sa vytvorí pomocou tohto postupu:
-
Používateľ iniciuje konferenciu zo zabezpečeného telefónu.
-
Cisco Unified Communications Manager priradí hovoru zabezpečený konferenčný most.
-
Keď sa pridajú účastníci, Cisco Unified Communications Manager overí režim zabezpečenia každého telefónu a zachová úroveň zabezpečenia konferencie.
-
Telefón zobrazuje úroveň zabezpečenia konferenčného hovoru. Na zabezpečenej konferencii sa zobrazí ikona zabezpečeného
.
Zabezpečené volanie je podporované medzi dvoma telefónmi. V chránených telefónoch nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.
Nasledujúca tabuľka obsahuje informácie o zmenách úrovní zabezpečenia konferencie v závislosti od úrovne zabezpečenia telefónu iniciátora, úrovní zabezpečenia účastníkov a dostupnosti zabezpečených konferenčných mostov.
|
Úroveň zabezpečenia telefónu iniciátora |
Použitá funkcia |
Úroveň zabezpečenia účastníkov |
Výsledky akcie |
|---|---|---|---|
|
Nezabezpečené |
Konferenčný hovor |
Bezpečné |
Nezabezpečený konferenčný most Nezabezpečená konferencia |
|
Bezpečné |
Konferenčný hovor |
Najmenej jeden člen nie je zabezpečený. |
Zabezpečený konferenčný most Nezabezpečená konferencia |
|
Bezpečné |
Konferenčný hovor |
Bezpečné |
Zabezpečený konferenčný most Bezpečná konferencia na šifrovanej úrovni |
|
Nezabezpečené |
Zoznámte sa so mnou |
Minimálna úroveň zabezpečenia je šifrovaná. |
Iniciátor dostane tón opätovného poradia. |
|
Bezpečné |
Zoznámte sa so mnou |
Minimálna úroveň zabezpečenia nie je zabezpečená. |
Zabezpečený konferenčný most Konferencia prijíma všetky hovory. |
Bezpečná identifikácia telefonického hovoru
Zabezpečený hovor sa vytvorí, keď je váš telefón a telefón na druhom konci nakonfigurovaný na zabezpečené volanie. Druhý telefón môže byť v rovnakej sieti Cisco IP alebo v sieti mimo siete IP. Zabezpečené hovory je možné uskutočňovať iba medzi dvoma telefónmi. Konferenčné hovory by mali podporovať zabezpečený hovor po nastavení zabezpečeného konferenčného mosta.
Zabezpečený hovor sa vytvorí pomocou tohto procesu:
-
Používateľ iniciuje hovor zo zabezpečeného telefónu (zabezpečený režim zabezpečenia).
-
Telefón zobrazí ikonu zabezpečenia
Na obrazovke telefónu. Táto ikona označuje, že telefón je nakonfigurovaný na zabezpečené hovory, ale to neznamená, že je zabezpečený aj druhý pripojený telefón. -
Ak sa hovor pripája k inému zabezpečenému telefónu, používateľ počuje bezpečnostný tón, ktorý naznačuje, že oba konce konverzácie sú šifrované a zabezpečené. Ak sa hovor pripojí k nezabezpečenému telefónu, používateľ nepočuje tón zabezpečenia.
Zabezpečené volanie je podporované medzi dvoma telefónmi. V chránených telefónoch nie sú pri nakonfigurovaní zabezpečeného hovoru dostupné niektoré funkcie, napríklad konferenčné hovory, zdieľané linky a Extension Mobility.
Tieto zabezpečené alebo nezabezpečené indikačné tóny prehrávajú iba chránené telefóny. Nechránené telefóny nikdy neprehrávajú zvuky. Ak sa počas hovoru zmení celkový stav hovoru, zmení sa tón signalizácie a chránený telefón prehrá príslušný tón.
Keď je možnosť Tón prehrávania indikujúca stav zabezpečeného alebo nezabezpečeného hovoru nastavená na hodnotu Pravda:
-
Keď je vytvorené zabezpečené médium počas celého spojenia a stav hovoru je zabezpečený, telefón prehrá tón signalizácie zabezpečeného spojenia (tri dlhé pípnutia s prestávkami).
-
Keď je vytvorené nezabezpečené médium typu end-to-end a stav hovoru je nezabezpečený, telefón prehrá nezabezpečený indikačný tón (šesť krátkych pípnutí s krátkymi prestávkami).
Ak je možnosť Prehrať tón na indikáciu stavu zabezpečeného alebo nezabezpečeného hovoru nastavená na hodnotu Nepravda, neprehrá sa žiadny tón.
Poskytnutie šifrovania pre nákladný čln
Cisco Unified Communications Manager kontroluje stav zabezpečenia telefónu pri vytváraní konferencií a mení bezpečnostnú indikáciu konferencie alebo blokuje dokončenie hovoru, aby sa zachovala integrita a bezpečnosť v systéme.
Používateľ nemôže vstúpiť do šifrovaného hovoru, ak telefón, ktorý sa používa na pristúpenie, nie je nakonfigurovaný na šifrovanie. Ak čln v tomto prípade zlyhá, zaznie v telefóne, v ktorom bol čln iniciovaný, tón zmeny poradia (rýchlo obsadený).
Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do nezabezpečeného hovoru zo šifrovaného telefónu. Po uskutočnení člna Cisco Unified Communications Manager klasifikuje hovor ako nezabezpečený.
Ak je telefón iniciátora nakonfigurovaný na šifrovanie, iniciátor člna môže vstúpiť do šifrovaného hovoru a telefón označí, že hovor je šifrovaný.
Zabezpečenie bezdrôtovej siete LAN
Pretože všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Bezdrôtové telefónne riešenie Cisco IP poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje.
-
Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.
-
Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).
Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle klientovi (telefónu) autoritu ID (AID), ktorá v TURN vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.
V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Autentifikácia: EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtového pripojenia EAP-TLS môže byť certifikátom klienta certifikát MIC, LSC, alebo certifikát nainštalovaný používateľom.
-
Protected Extensible Authentication Protocol (PEAP): Cisco proprietárna vzájomná autentifikačná schéma založená na hesle medzi klientom (telefónom) a serverom RADIUS. Telefón môže použiť PEAP na autentifikáciu v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.
-
Predzdieľaný kľúč (PSK): Telefón podporuje formáty ASCII a hexadecimálne (HEX). Tieto formáty musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA2/SAE.
ASCII: Reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a-z, veľké A-Z a špeciálne znaky). Napríklad,GREG123567@9ZX
&W.HEX: reťazec so šesťhrannými znakmi a dĺžkou 64 hexadecimálnych číslic (0-9, a-f alebo A-F).
Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:
-
WPA2/WPA3: Používa informácie o serveri RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.
-
Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu.
Pri zabezpečení WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané na každom telefóne.
Na ochranu hlasovej prevádzky prostredníctvom bezdrôtového spojenia telefón podporuje šifrovanie WPA2/WPA3 založené na AES. AES je symetrická bloková šifra štandardizovaná NIST. AES používa pevnú 128-bitovú veľkosť bloku a podporuje kľúčové veľkosti 128 bitov, 192 bitov a 256 bitov. V sieťach Wi-Fi používajú AES šifrovacie balíky ako CCMP alebo GCMP, zatiaľ čo autentifikáciu poskytuje samostatne PSK, SAE alebo 802.1X / EAP, v závislosti od nakonfigurovaného bezpečnostného režimu WLAN. Podporovaná šifrovacia sada a veľkosť kľúča závisia od modelu telefónu a konfigurácie WLAN.
Keď telefón používa šifrovanie AES, medzi prístupovým bodom a telefónom sú šifrované pakety signalizácie SIP aj hlasové pakety protokolu prenosu v reálnom čase (RTP).
Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.
Niektoré schémy overovania vyžadujú špecifické typy šifrovania.
Ak používate predzdieľaný kľúč WPA2 alebo SAE, predzdieľaný kľúč musí byť staticky nastavený v telefóne. Tieto klávesy sa musia zhodovať s klávesmi, ktoré sú na prístupovom bode.
Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre Cisco bezdrôtový telefón 9821, ktoré zodpovedajú konfigurácii prístupového bodu.
| FSR Typ | Overovanie | Správa kľúčov | Šifrovanie | Chránený rámec správy (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nie |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Áno |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nie |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nie |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nie |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Áno |
| Mimo FT | Apartmán-B | WPA-EAP-SUITE-B | GCMP | Áno |
| Mimo FT | Apartmán-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Áno |
Nastavenie profilu Wi-Fi
Môžete nakonfigurovať profil Wi-Fi a priradiť ho k bezdrôtovému telefónu Cisco 9821. Tento profil obsahuje parametre potrebné na to, aby telefón nadviazal spojenie Wi-Fi a následne sa zaregistroval pomocou Cisco Unified CM. Keď vytvoríte a používate profil Wi-Fi, vy ani vaši používatelia nemusíte konfigurovať bezdrôtovú sieť pre jednotlivé telefóny.
Odporúčame, aby ste použili zabezpečený profil s povoleným šifrovaním TFTP na ochranu vašich kľúčov a hesiel v profile Wi-Fi.
Telefóny podporujú jeden certifikát servera na jednu metódu inštalácie (manuál, SCEP alebo TFTP).
Pred konfiguráciou profilu WLAN majte na pamäti nasledujúce poznámky:
-
Meno používateľa a heslo
-
Ak vaša sieť používa na overenie používateľa EAP-FAST a PEAP, musíte v službe RADIUS (Remote Authentication Dial-In User Service) a telefóne nakonfigurovať meno používateľa aj heslo, ak sa to vyžaduje.
- Poverenia, ktoré zadáte do profilu bezdrôtovej siete LAN, musia byť totožné s povereniami, ktoré ste nakonfigurovali na serveri RADIUS.
-
Ak používate domény v rámci svojej siete, musíte zadať meno používateľa s názvom domény vo formáte:
doména\menopoužívateľa.
-
-
Nasledujúce akcie môžu viesť k vymazaniu existujúceho hesla Wi-Fi:
- Zadanie neplatného používateľa ID alebo hesla
- Inštalácia neplatnej koreňovej certifikačnej autority alebo s uplynutou platnosťou, keď je typ EAP nastavený na PEAP-MSCHAPV2 alebo PEAP-GTC
- Vypnutie používaného typu EAP na serveri RADIUS pred prepnutím telefónu na nový typ EAP
- Ak chcete zmeniť typ EAP, uistite sa, že ste najskôr povolili nový typ EAP na serveri RADIUS a potom prepnite telefón na typ EAP. Po zmene všetkých telefónov na nový typ EAP môžete predchádzajúci typ EAP zakázať, ak chcete.
| 1 |
V Cisco Unified Communications Manager Administration vyberte položku bezdrôtovej siete LAN. |
| 2 |
Kliknite na položku Pridať nové. |
| 3 |
V časti Informácie o profile bezdrôtovej siete LAN nastavte parametre:
|
| 4 |
V časti Nastavenia bezdrôtového pripojenia nastavte parametre:
|
| 5 |
V časti Nastavenia overovania nastavte metódu overovania na jednu z týchto metód overovania: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK a Žiadne. Cisco Bezdrôtový telefón 9821 nepodporuje WEP. Po nastavení tohto poľa sa môžu zobraziť ďalšie polia, ktoré je potrebné nastaviť.
Cisco Bezdrôtový telefón 9821 nepodporuje pole Profil prístupu do siete. |
| 6 |
Kliknite na položku Uložiť. |
Čo robiť ďalej
Naviažte profil bezdrôtovej siete LAN na skupinu profilov WLAN a potom použite skupinu profilov WLAN na fond zariadení () alebo priamo na telefón ().
Inštalácia certifikátu používateľa z webovej stránky správy telefónu
Certifikát používateľa môžete do telefónu nainštalovať manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).
Predinštalovaný certifikát Manufacturing Installed Certificate (MIC) je možné použiť ako certifikát používateľa pre EAP-TLS.
Po nainštalovaní certifikátu používateľa je potrebné pridať reťazec certifikačných autorít, ktorý vydal certifikát používateľa, do zoznamu dôveryhodných serverov RADIUS.
Skôr než začnete
Pred inštaláciou certifikátu používateľa do telefónu musíte mať:
-
Certifikát používateľa uložený v počítači. Certifikát musí byť vo formáte PKCS #12.
-
Heslo pre výpis certifikátu. Dĺžka hesla nesmie presiahnuť 32 znakov.
| 1 |
Na webovej stránke správy telefónu vyberte položku Certifikáty. |
| 2 |
Vyhľadajte pole Nainštalovaný používateľom a kliknite na tlačidlo Inštalovať. |
| 3 |
V počítači vyhľadajte certifikát. |
| 4 |
Do poľa Extrahovať heslo zadajte heslo pre výpis certifikátu. |
| 5 |
Kliknite na položku Nahrať. |
| 6 |
Po dokončení nahrávania reštartujte telefón. |
Inštalácia certifikačnej autority autentifikačného servera z webovej stránky správy telefónu
Ak protokol SCEP (Simple Certificate Enrollment Protocol) nie je k dispozícii, môžete do telefónu nainštalovať certifikačnú autoritu autentifikačného servera.
Musí byť nainštalovaný koreňový certifikát CA, ktorý vydal certifikát servera RADIUS.
Skôr než začnete
Pred inštaláciou certifikátu do telefónu musíte mať v počítači uloženú certifikačnú autoritu autentifikačného servera. Certifikát musí byť kódovaný v PEM (Base-64) alebo DER.
| 1 |
Na webovej stránke správy telefónu vyberte položku Certifikáty. |
| 2 |
Vyhľadajte pole CA overovacieho servera a kliknite na tlačidlo Inštalovať. |
| 3 |
V počítači vyhľadajte certifikát. |
| 4 |
Kliknite na položku Nahrať. |
| 5 |
Po dokončení nahrávania reštartujte telefón. |
Manuálne odstránenie certifikátu zabezpečenia z webovej stránky správy telefónu
Certifikát zabezpečenia môžete z telefónu odstrániť manuálne, ak nie je k dispozícii protokol SCEP (Simple Certificate Enrollment Protocol).
| 1 |
Na webovej stránke správy telefónu vyberte položku Certifikáty. |
| 2 |
Vyhľadajte certifikát na stránke Certifikáty . |
| 3 |
Kliknite na položku Odstrániť. |
| 4 |
Po dokončení procesu odstránenia reštartujte telefón. |
Nastavenie programu SCEP
Simple Certificate Enrollment Protocol (SCEP) je štandard pre automatické poskytovanie a obnovovanie certifikátov. Vyhýba sa manuálnej inštalácii certifikátov do vašich telefónov.
Aktivácia špecifických konfiguračných parametrov SCEP
Nasledujúce parametre SCEP musíte nakonfigurovať na Cisco Unified Communications Manager (Unified CM).
-
RA IP adresa alebo názov hostiteľa
-
SHA-1 alebo SHA-256 odtlačok koreňového certifikátu CA pre server SCEP
Cisco IOS Registration Authority (RA) slúži ako proxy server SCEP. Klient SCEP v telefóne používa parametre, ktoré sú stiahnuté z Cisco Unified CM. Po nakonfigurovaní parametrov telefón odošle požiadavku SCEP getcs do RA a koreňový certifikát CA sa overí pomocou definovaného odtlačku prsta.
| 1 |
V časti Cisco Unified Communications Manager Administration vyberte položku . |
| 2 |
Vyhľadajte telefón. |
| 3 |
Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt. |
| 4 |
Začiarknite políčko WLAN SCEP Server pre aktiváciu parametra SCEP. |
| 5 |
Začiarknite políčko WLAN Root CA Fingerprint (SHA256 alebo SHA1), čím aktivujete parameter SCEP QED. |
Podpora serverov SCEP
Ak používate server SCEP (Simple Certificate Enrollment Protocol), server môže automaticky uchovávať vaše používateľské a serverové certifikáty. Na serveri SCEP nakonfigurujte registračného agenta SCEP (RA) na:
-
Pôsobiť ako bod dôvery PKI
-
Pôsobiť ako PKI RA
-
Vykonanie overenia zariadenia pomocou servera RADIUS
Ďalšie informácie nájdete v dokumentácii k serveru SCEP.
Nastavenie Locally Significant Certificate (LSC)
Existuje niekoľko spôsobov, ako nainštalovať LSC. Táto vzorová úloha sa vzťahuje na nastavenie LSC s metódou overovacieho reťazca na bezdrôtovom telefóne Cisco 9821.
Skôr než začnete
Uistite sa, že sú dokončené príslušné konfigurácie zabezpečenia Cisco Unified CM a certificate authority proxy function (CAPF).
-
Súbor CTL alebo ITL obsahuje certifikát CAPF.
-
V časti Cisco Unified Communications Operating System Administration skontrolujte, či je nainštalovaný certifikát CAPF.
-
CAPF je spustený a nakonfigurovaný.
Ďalšie informácie o týchto nastaveniach nájdete v dokumentácii k vášmu konkrétnemu vydaniu Cisco Unified CM.
| 1 |
Získajte overovací reťazec CAPF, ktorý bol nastavený pri konfigurácii CAPF. |
| 2 |
V telefóne prejdite na nastavenia |
| 3 |
Vyberte položku . |
| 4 |
Zadajte overovací reťazec. |
| 5 |
Stlačte Viac Telefón začne inštalovať, aktualizovať alebo odstraňovať LSC v závislosti od konfigurácie CAPF. Po dokončení procedúry sa v telefóne zobrazí hlásenie Nainštalované alebo Nenainštalované. Dokončenie procesu inštalácie, aktualizácie alebo odstránenia LSC môže trvať dlho. Po úspešnej inštalácii telefónu sa zobrazí hlásenie |
Autentifikácia 802.1X pre káblové siete
Cisco Bezdrôtový telefón 9821 podporuje autentifikáciu 802.1X pre káblové siete. Toto sa zvyčajne používa počas automatického poskytovania , keď je telefón pripojený k stolnej nabíjačke prostredníctvom podporovaného adaptéra USB-to-Ethernet.
Podpora autentifikácie 802.1X v káblových sieťach vyžaduje niekoľko komponentov:
-
Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahujú prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie telefónov IP k portom prepínača LAN. Aktuálne vydanie prosebníka telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.
-
Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom RADIUS.
-
Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy EAP medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.
Cisco IP Phones a Cisco Spínače katalyzátora tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie.
Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.
-
Nakonfigurujte CDP/LLDP hlas VLAN bypass.
-
Pred zapnutím overovania 802.1X pre káblové siete v telefóne nakonfigurujte autentifikačný server a prepínač.
-
Konfigurácia hlasu VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínača.
- Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete ho nakonfigurovať tak, aby používal hlas VLAN.
- Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, vypnite hlas VLAN a zvážte priradenie portu k natívnemu VLAN.
-
Cisco Bezdrôtový telefón 9821 má inú predvoľbu v PID ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho bezdrôtového telefónu Cisco 9821.
Napríklad PID bezdrôtového telefónu Cisco 9821 je WP-9821. Môžete nastaviť polomer· Meno používateľa na
začiatok na WPaleboObsahuje WPv oboch nasledujúcich častiach: -
Povolenie overovania 802.1X pre káblové siete v telefóne
Ak chcete povoliť overenie 802.1X pre káblové siete v telefóne, postupujte podľa týchto krokov. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.
| 1 |
Prístup k nastaveniam |
| 2 |
Ak sa zobrazí výzva, zadajte heslo pre prístup do ponuky Nastavenia . Heslo môžete získať od správcu. |
| 3 |
Vyberte položku 802.1X. |
| 4 |
Zvýraznite možnosť Autentifikácia zariadenia a stlačte tlačidlo Zapnúť. |
Povoľte overovanie 802.1X pre káblové siete v Cisco Unified Communications Manager Administration
Ak chcete povoliť overovanie 802.1X pre káblové siete na Cisco Unified CM, postupujte podľa týchto krokov. Upozorňujeme, že overenie 802.1X pre Wi-Fi je predvolene povolené a nevyžaduje manuálnu konfiguráciu.
Stav transakcie a nastavenia zabezpečenia si môžete pozrieť v ponuke na obrazovke telefónu. Ďalšie informácie nájdete v téme Ponuka Nastavenie zabezpečenia na telefóne.
| 1 |
V Cisco Unified Communications Manager Administration vyberte položku Device > Phone. |
| 2 |
Nájdite telefón, ktorý nastavíte. |
| 3 |
Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt. |
| 4 |
V rozbaľovacej ponuke Overenie 802.1x vyberte možnosť Povolené . Keď je možnosť Povolené alebo Vypnuté, možnosť Overenie zariadenia na bezdrôtovom telefóne Cisco 9821 sa zmení iba na čítanie, čo používateľom zabráni v úprave nastavení overovania 802.1X. |
| 5 |
Kliknite na položku Uložiť. |
| 6 |
Vyberte položku Použiť konfiguráciu. |
Ponuka nastavení zabezpečenia v telefóne
Ak chcete zobraziť informácie o nastaveniach zabezpečenia z ponuky telefónu, prejdite do časti Nastavenia
a vyberte položku 802.1X. Dostupnosť informácií závisí od nastavení siete vo vašej organizácii.
|
Parametre |
Možnosti |
Predvolené |
Popis |
|---|---|---|---|
|
Overenie zariadenia |
Na Off |
Off |
Zapína alebo vypína overovanie 802.1X v telefóne. Nastavenie parametrov je možné zachovať po prvej registrácii telefónu (OOB). |
|
Stav transakcie | Vypnuté |
Zobrazuje stav overenia 802.1X. Štát môže byť (nie výlučne):
| |
|
Protokol | Žiadne |
Zobrazuje metódu EAP, ktorá sa používa na overenie 802.1X. Protokol môže byť EAP-FAST alebo EAP-TLS. |
Nastavenie podporovaných verzií TLS
Môžete nastaviť minimálnu verziu TLS požadovanú pre klienta a server.
V predvolenom nastavení je minimálna TLS verzia servera aj klienta 1.2. Toto nastavenie má vplyv na nasledujúce funkcie:
- Pripojenie webového prístupu HTTPS
- Adaptácia lokálneho telefónu
- Služby HTTPS, ako sú adresárové služby
- Zabezpečenie transportnej vrstvy datagramu (DTLS)
- Entita prístupu k portom (PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Ďalšie informácie o kompatibilite TLS 1.3 pre Cisco IP Phones nájdete v téme TLS 1.3 Matica kompatibility pre Cisco produkty spolupráce.
| 1 |
V Cisco Unified Communications Manager Administration vykonajte podľa potreby jednu z nasledujúcich akcií:
Konfigurácia má hierarchickú štruktúru:
|
| 2 |
Nastavte pole TLS Minimálna verzia klienta : Možnosť TLS 1.3 je k dispozícii na Cisco Unified CM 15SU2 alebo novšej.
|
| 3 |
Nastavte pole TLS Server Min Version :
|
| 4 |
Kliknite na položku Uložiť. |
| 5 |
Kliknite na položku Použiť konfiguráciu. |
| 6 |
Reštartujte telefóny. |
TURN vypnutý reproduktor a náhlavná súprava na bezdrôtovom telefóne Cisco 9821
Pre používateľa máte možnosť natrvalo TURN vypnúť hlasný telefón a náhlavnú súpravu na bezdrôtovom telefóne Cisco 9821. Vypnutím týchto zvukových výstupov zabezpečíte, že konverzácie nebudú počuť ostatní v okolí, čo je dôležité v zdieľanom alebo otvorenom kancelárskom prostredí.
| 1 |
V Cisco Unified Communications Manager Administration vyberte položku . |
| 2 |
Nájdite telefón, ktorý nastavíte. |
| 3 |
Prejdite do oblasti Rozloženie konfigurácie špecifickej pre daný produkt. |
| 4 |
Začiarknite niektoré z nasledujúcich políčok, aby ste TURN možnosti telefónu #:
V predvolenom nastavení tieto začiarkavacie políčka nie sú začiarknuté. |
| 5 |
Kliknite na položku Uložiť. |
| 6 |
Vyberte položku Použiť konfiguráciu. |
