- Domov
- /
- Članek
Ta članek pomoči velja za Cisco Wireless Phone 9821, registriran na Cisco Unified Communications Manager (Unified CM).
Omogočite lahko, da Cisco Unified Communications Manager (Unified CM) deluje v izboljšanem varnostnem okolju. S temi izboljšavami vaše telefonsko omrežje deluje pod naborom strogih kontrolnikov za varnost in upravljanje tveganja, ki ščitijo vas in vaše uporabnike.
Izboljšano varnostno okolje vključuje naslednje funkcije:
-
Preverjanje pristnosti iskanja stikov
-
TCP kot privzeti protokol za pisanje dnevnika oddaljenega nadzora
-
Izboljšan pravilnik o poverilnicah
-
Podpora družini razpršitev SHA-2 za digitalne podpise
-
Podpora za velikost ključa RSA do 4096 bitov
Z različico Cisco Unified CM Release 14.0 ali novejšo različico telefoni podpirajo preverjanje pristnosti SIP OAuth.
OAuth je podprt za Proxy Trivial File Transfer Protocol (TFTP) z Cisco Unified CM Release 14.0 (1) SU1 ali novejšim.
Za več informacij o varnosti glejte naslednje vodnike:
-
Vodnik za konfiguracijo sistema za Cisco Unified Communications Manager, izdajo 15 in SU
-
Varnostni vodnik za Cisco Unified Communications Manager, izdajo 15 in SU
Telefon lahko shrani le omejeno število datotek seznama zaupanja identitete (ITL). Datoteke ITL ne smejo presegati 64 tisoč na telefonu, zato omejite število datotek, ki jih Cisco Unified CM pošlje v telefon.
Podprte varnostne funkcije
Varnostne funkcije ščitijo pred grožnjami, vključno z grožnjami identiteti telefona in podatkom. Te funkcije vzpostavijo in vzdržujejo overjene komunikacijske tokove med telefonom in Cisco Unified Communications Manager server ter zagotavljajo, da telefon uporablja samo digitalno podpisane datoteke.
Cisco Unified Communications Manager Release 8.5 (1) in novejše vključujejo privzeto varnost, ki zagotavlja naslednje varnostne funkcije za Cisco IP Phones brez zagona odjemalca CTL:
-
Podpisovanje konfiguracijskih datotek telefona
-
Šifriranje datotek konfiguracije telefona
-
HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami
Funkcije varne signalizacije in predstavnosti še vedno zahtevajo, da zaženete odjemalca CTL in uporabljate strojne eŽetone.
Implementacija varnosti v Cisco Unified Communications Manager system preprečuje krajo identitete telefona in Cisco Unified Communications Manager server, preprečuje nedovoljeno spreminjanje podatkov ter preprečuje klicno signalizacijo in nedovoljeno spreminjanje medijskega toka.
Za ublažitev teh groženj telefonsko omrežje Cisco IP vzpostavi in vzdržuje varne (šifrirane) komunikacijske tokove med telefonom in strežnikom, digitalno podpiše datoteke, preden se prenesejo v telefon, ter šifrira medijske tokove in signalizacijo klicev med Cisco IP Phones.
Locally Significant Certificate (LSC) se namesti v telefone, ko opravite potrebna opravila, povezana z certificate authority proxy function (CAPF). Cisco Unified Communications Manager Administration lahko uporabite za konfiguriranje LSC, kot je opisano v varnostnem priročniku Cisco Unified Communications Manager. Druga možnost je, da začnete namestitev LSC iz menija Varnost v telefonu . V tem meniju lahko tudi posodobite ali odstranite LSC.
Telefoni uporabljajo varnostni profil telefona, ki določa, ali je naprava nevarna ali varna. Za informacije o uporabi varnostnega profila v telefonu si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.
Če konfigurirate varnostne nastavitve v Cisco Unified Communications Manager Administration, konfiguracijska datoteka telefona vsebuje občutljive podatke. Če želite zagotoviti zasebnost konfiguracijske datoteke, jo morate konfigurirati za šifriranje. Za podrobnejše informacije si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.
V spodnji tabeli je pregled varnostnih funkcij, ki jih podpirajo telefoni. Za več informacij si oglejte dokumentacijo za izdajo Cisco Unified Communications Manager.
|
Funkcija |
Opis |
|---|---|
|
Preverjanje pristnosti slike |
Podpisane dvojiške datoteke preprečijo nedovoljeno spreminjanje slike vdelane programske opreme, preden se slika naloži v telefon. Nedovoljeno spreminjanje slike povzroči, da telefon ne uspe postopek preverjanja pristnosti in zavrne novo sliko. |
|
Namestitev certifikata na spletnem mestu stranke |
Vsak Cisco IP Phone zahteva edinstven certifikat za preverjanje pristnosti naprave. Telefoni vključujejo proizvodno nameščen certifikat (MIC), vendar lahko za dodatno varnost določite namestitev certifikata v Cisco Unified Communications Manager Administration z uporabo certificate authority proxy function (CAPF). Druga možnost je, da namestite Locally Significant Certificate (LSC) iz menija Varnost na telefonu. |
|
Preverjanje pristnosti naprave |
Pojavi se med Cisco Unified Communications Manager server in telefonom, ko vsaka entiteta sprejme potrdilo druge entitete. Določa, ali naj pride do varne povezave med telefonom in Cisco Unified Communications Manager; in po potrebi ustvari varno signalno pot med entitetami z uporabo protokola TLS. Cisco Unified Communications Manager ne registrira telefonov, razen če jih lahko overi. |
|
Preverjanje pristnosti datoteke |
Potrdi digitalno podpisane datoteke, ki jih prenese telefon. Telefon potrdi podpis in se prepriča, da po ustvarjanju datoteke ni prišlo do spreminjanja datotek. Datoteke, ki ne uspejo preveriti pristnosti, se ne zapišejo v pomnilnik Flash v telefonu. Telefon takšne datoteke zavrne brez nadaljnje obdelave. |
|
Šifriranje datotek |
Šifriranje preprečuje razkrivanje občutljivih informacij med prenosom datoteke v telefon. Poleg tega telefon potrdi podpis in se prepriča, da po ustvarjanju datoteke ni prišlo do spreminjanja datotek. Datoteke, ki ne uspejo preveriti pristnosti, se ne zapišejo v pomnilnik Flash v telefonu. Telefon takšne datoteke zavrne brez nadaljnje obdelave. |
|
Preverjanje pristnosti signalizacije |
Uporablja protokol TLS za preverjanje, da med prenosom ni prišlo do nedovoljenih posegov v signalne pakete. |
|
Proizvodno vgrajeni certifikat |
Vsak Cisco IP Phone vsebuje edinstven proizvodno nameščen certifikat (MIC), ki se uporablja za preverjanje pristnosti naprave. MIC zagotavlja trajen edinstven dokaz identitete telefona in omogoča Cisco Unified Communications Manager preverjanje pristnosti telefona. |
|
Šifriranje medijev |
Uporablja SRTP za zagotovitev, da se medijski tokovi med podprtimi napravami izkažejo za varne in da samo predvidena naprava sprejema in bere podatke. Vključuje ustvarjanje para primarnih ključev medijev za naprave, dostavo ključev napravam in zagotovitev dostave ključev, medtem ko so ključi v prometu. |
|
CAPF (Certificate Authority Proxy Function) |
Izvaja dele postopka generiranja certifikatov, ki so preveč procesno intenzivni za telefon, in komunicira s telefonom za generiranje ključev in namestitev certifikatov. CAPF lahko konfigurirate tako, da v imenu telefona zahtevate potrdila od overiteljev potrdil, ki jih določi stranka, ali pa ga konfigurirate tako, da certifikate ustvarja lokalno. Podprti sta vrsti ključev EC (eliptična krivulja) in RSA. Če želite uporabiti tipko EC, se prepričajte, da je omogočen parameter »Podpora za napredne algoritme šifriranja končne točke« (iz Enterprise). Za več informacij o CAPF in sorodnih konfiguracijah glejte naslednje dokumente: |
|
Varnostni profil |
Določa, ali telefon ni varen, overjen, šifriran ali zaščiten. Drugi vnosi v tej tabeli opisujejo varnostne funkcije. |
|
Šifrirane konfiguracijske datoteke |
Omogoča zagotavljanje zasebnosti konfiguracijskih datotek telefona. |
|
Izbirni spletni strežnik onemogoča telefon |
Iz varnostnih razlogov lahko preprečite dostop do spletnih strani za telefon (ki prikazujejo različne operativne statistične podatke za telefon) in portala za samopomoč. |
|
Kaljenje telefona |
Dodatne varnostne možnosti, ki jih nadzirate iz Cisco Unified Communications Manager Administration:
|
|
Varno SIP Failover za SRST |
Ko konfigurirate varnostno referenco telefonije oddaljenega spletnega mesta Survivable (SRST) in nato ponastavite odvisne naprave v Cisco Unified Communications Manager Administration, strežnik TFTP doda potrdilo SRST v datoteko cnf.XML telefona in pošlje datoteko v telefon. Varen telefon nato uporabi povezavo TLS za interakcijo z usmerjevalnikom, ki podpira SRST. |
|
Šifriranje signalizacije |
Zagotavlja, da so vsa signalna sporočila SIP, poslana med napravo in Cisco Unified Communications Manager server, šifrirana. |
|
Alarm za posodobitev seznama zaupnikov |
Ko se seznam zaupanja posodobi v telefonu, Cisco Unified Communications Manager prejme alarm, ki označuje uspeh ali neuspeh posodobitve. Za več informacij si oglejte naslednjo tabelo. |
|
AES 256 Šifriranje |
Ko so telefoni povezani z Cisco Unified Communications Manager Release 10.5 (2) in novejšimi, podpirajo podporo za šifriranje AES 256 za TLS in SIP za signalizacijo in šifriranje medijev. To telefonom omogoča, da vzpostavijo in podpirajo povezave TLS 1.2 z uporabo šifer, ki temeljijo na AES-256, ki ustrezajo standardom SHA-2 (Secure Hash Algorithm) in so skladne z zveznimi standardi za obdelavo informacij (FIPS). Šifre vključujejo:
Za več informacij si oglejte dokumentacijo Cisco Unified Communications Manager. |
|
Certifikati algoritma digitalnega podpisa eliptične krivulje (ECDSA) |
Kot del certificiranja skupnih meril (CC), Cisco Unified Communications Manager; dodali certifikate ECDSA v različici 11.0. To vpliva na vse izdelke glasovnega operacijskega sistema (VOS) z oznako CUCM 11.5 in novejšo različico. |
|
Večstrežniški (SAN) Tomcat certifikat z Cisco UCM | Telefon podpira Cisco UCM s konfiguriranimi certifikati Tomcat z več strežniki (SAN). Pravilen naslov strežnika TFTP najdete v datoteki ITL telefona za registracijo telefona. Če želite več informacij o funkciji, glejte to: |
Spodnja tabela vsebuje seznam zaupnikov, posodobitev, opozorilna sporočila in pomen. Za več informacij si oglejte dokumentacijo Cisco Unified Communications Manager.
| Koda in sporočilo | Opis |
|---|---|
|
1 - TL_SUCCESS |
Prejel novo CTL in/ali ITL |
|
2 - CTL_INITIAL_SUCCESS |
Prejel novo CTL, brez obstoječega TL |
|
3 - ITL_INITIAL_SUCCESS |
Prejel novo ITL, brez obstoječega TL |
|
4 - TL_INITIAL_SUCCESS |
Prejel sem nove CTL in ITL, brez obstoječega TL |
|
5 - TL_FAILED_OLD_CTL |
Posodobitev na novo CTL ni uspela, vendar je imela prejšnji TL |
|
6 - TL_FAILED_NO_TL |
Posodobitev na novo TL ni uspela in nima starega TL |
|
7 - TL_FAILED |
Generična okvara |
|
8 - TL_FAILED_OLD_ITL |
Posodobitev na novo ITL ni uspela, vendar je imela prejšnji TL |
|
9 - TL_FAILED_OLD_TL |
Posodobitev na novo TL ni uspela, vendar je imela prejšnji TL |
Varnost telefonskih klicev
Ko je za telefon uvedena varnost, lahko varne telefonske klice prepoznate po ikonah na zaslonu telefona. Ugotovite lahko tudi, ali je povezani telefon varen in zaščiten, če se na začetku klica predvaja varnostni ton.
Pri varnem klicu so vsi klicni signali in predstavnostni tokovi šifrirani. Varen klic zagotavlja visoko raven varnosti ter integriteto in zasebnost klica. Ko je opravljeni klic šifriran, lahko vidite ikono varnosti
Na liniji.
-
Če je klic preusmerjen prek etap klicev, ki niso IP, na primer PSTN, klic morda ni varen, čeprav je šifriran v omrežju IP in je z njim povezana ikona ključavnice.
-
Varno klicanje je podprto samo za povezave med dvema telefonoma. Nekatere funkcije, kot so konferenčni klici in skupne linije, niso na voljo, če je konfigurirano varno klicanje.
V Cisco Unified Communications Manager lahko telefonom, ki so konfigurirani kot varni (šifrirani in zaupanja vredni), dodeli zaščiten status. Ko so te naprave zaščitene, jih lahko konfigurirate tako, da predvajajo varnostni ton na začetku vsakega klica.
-
Zaščitena naprava:
Če želite spremeniti stanje varnega telefona v zaščitenega:
- V oznaki Cisco Unified Communications Manager Administration izberite .
- Poiščite telefon, ki ga boste nastavili.
- V oknu Konfiguracija telefona potrdite polje Zaščitena naprava .
- Kliknite Shrani.
-
Predvajaj varen indikacijski ton:
Če želite zaščitenemu telefonu omogočiti predvajanje varnega ali nezaščitenega signalnega tona:
- V razdelku Cisco Unified Communications Manager Administration izberite storitve.
- Izberite strežnik in nato storitev Cisco CallManager .
- V območju Parametri celotne gruče (funkcija – varen ton) nastavite nastavitev Ton predvajanja na Stanje varnega/nezaščitenega klica na True.
- Kliknite Shrani.
Varna identifikacija konferenčnega klica
Začnete lahko varen konferenčni klic in spremljate raven varnosti udeležencev. Varen konferenčni klic se vzpostavi s tem postopkom:
-
Uporabnik sproži konferenco z varnega telefona.
-
Cisco Unified Communications Manager klicu dodeli varen konferenčni most.
-
Ko so udeleženci dodani, Cisco Unified Communications Manager preveri varnostni način vsakega telefona in ohrani varno raven konference.
-
Telefon prikazuje raven varnosti konferenčnega klica. Varna konferenca prikaže ikono varnosti
.
Varno klicanje je podprto med dvema telefonoma. Pri zaščitenih telefonih nekatere funkcije, kot so konferenčni klici, skupne linije in Extension Mobility, niso na voljo, ko je konfigurirano varno klicanje.
V spodnji tabeli so informacije o spremembah ravni varnosti konference, ki so odvisne od ravni varnosti telefona pobudnika, ravni varnosti udeležencev in razpoložljivosti varnih konferenčnih mostov.
|
Raven varnosti telefona pobudnika |
Uporabljena funkcija |
Raven varnosti udeležencev |
Rezultati ukrepov |
|---|---|---|---|
|
Ni varno |
Konferenca |
Varno |
Nezavarovan konferenčni most Nezaščitena konferenca |
|
Varno |
Konferenca |
Vsaj en član ni varen. |
Varen konferenčni most Nezaščitena konferenca |
|
Varno |
Konferenca |
Varno |
Varen konferenčni most Varna konferenca šifrirane ravni |
|
Ni varno |
Spoznaj me |
Najnižja raven varnosti je šifrirana. |
Pobudnik prejme ton ponovnega naročila. |
|
Varno |
Spoznaj me |
Najnižja raven varnosti ni varna. |
Varen konferenčni most Konferenca sprejme vse klice. |
Varna identifikacija telefonskega klica
Varen klic se vzpostavi, ko sta telefon in telefon na drugi strani konfigurirana za varno klicanje. Drugi telefon je lahko v istem omrežju Cisco IP ali v omrežju zunaj omrežja IP. Varne klice je mogoče opravljati samo med dvema telefonoma. Konferenčni klici morajo podpirati varen klic po vzpostavitvi varnega konferenčnega mostu.
Zavarovani klic se vzpostavi po tem postopku:
-
Uporabnik sproži klic iz zavarovanega telefona (varni varnostni način).
-
Telefon prikaže ikono varnosti
Na zaslonu telefona. Ta ikona označuje, da je telefon konfiguriran za varne klice, vendar to ne pomeni, da je zavarovan tudi drugi povezani telefon. -
Če se klic poveže z drugim zavarovanim telefonom, uporabnik zasliši varnostni ton, kar pomeni, da sta oba konca pogovora šifrirana in zavarovana. Če se klic poveže z nezavarovanim telefonom, uporabnik ne sliši varnostnega tona.
Varno klicanje je podprto med dvema telefonoma. Pri zaščitenih telefonih nekatere funkcije, kot so konferenčni klici, skupne linije in Extension Mobility, niso na voljo, ko je konfigurirano varno klicanje.
Samo zaščiteni telefoni predvajajo te varne ali nezaščitene signalne tone. Nezaščiteni telefoni nikoli ne predvajajo tonov. Če se splošno stanje klica med klicem spremeni, se signal signala spremeni in zaščiteni telefon predvaja ustrezen ton.
Ko je možnost Ton predvajanja za označevanje statusa varnega/nezaščitenega klica nastavljena na True:
-
Ko je vzpostavljena varna predstavnost od konca do konca in je stanje klica varno, telefon predvaja ton varne indikacije (trije dolgi piski s premori).
-
Ko se vzpostavijo nezaščiteni mediji od konca do konca in stanje klica ni varno, telefon predvaja nezaščiten signalni ton (šest kratkih piskov s kratkimi premori).
Če je možnost Ton predvajanja za označevanje statusa varnega/nezaščitenega klica nastavljena na False, se ton ne predvaja.
Zagotovite šifriranje za baržo
Cisco Unified Communications Manager Preveri varnostno stanje telefona, ko se vzpostavijo konference, in spremeni varnostni znak za konferenco ali blokira zaključek klica, da ohrani integriteto in varnost v sistemu.
Uporabnik se ne more vključiti v šifriran klic, če telefon, ki se uporablja za vkrcanje, ni konfiguriran za šifriranje. Ko vlačilec v tem primeru ne uspe, se na telefonu predvaja ton preurejanja (hitro zaseden) barže.
Če je telefon pobudnika konfiguriran za šifriranje, se lahko sprožilec barže vključi v nezaščiten klic iz šifriranega telefona. Ko pride do vkrcanja, Cisco Unified Communications Manager razvrsti klic kot nevaren.
Če je začetni telefon konfiguriran za šifriranje, se lahko sprožilec barke vključi v šifriran klic, telefon pa sporoči, da je klic šifriran.
Varnost brezžičnega omrežja LAN
Ker lahko vse naprave WLAN, ki so v dosegu, prejmejo ves preostali promet WLAN, je zaščita glasovne komunikacije ključnega pomena v omrežjih WLAN. Da vsiljivci ne manipulirajo ali prestrezajo glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefonska rešitev Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščene prijave in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira.
-
Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.
-
Prilagodljivo preverjanje pristnosti razširljivega protokola preverjanja pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).
Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje naročniku ID (AID) odjemalcu (telefonu), ki v TURN izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je tunel TLS. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti na strežniku RADIUS.
V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.
-
Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Preverjanje pristnosti: EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in dostop do omrežja. Za brezžično EAP-TLS je potrdilo odjemalca lahko MIC, LSC, ali uporabniško nameščeno potrdilo.
-
Protected Extensible Authentication Protocol (PEAP): Cisco lastniška shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.
-
Ključ v vnaprejšnji skupni rabi (PSK): telefon podpira formata ASCII in šestnajstiške oblike zapisa (HEX). Te oblike zapisa morate uporabiti, ko nastavljate ključ v vnaprejšnji skupni rabi WPA2/SAE.
ASCII: Niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male črke a–z, velike črke A–Z in posebni znaki). Na primer,GREG123567@9ZX
&W.HEX: šestnajstiški niz s 64 šestnajstiškimi števkami (0–9, a–f ali A–F).
Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:
-
WPA2/WPA3: uporablja informacije o strežniku RADIUS za ustvarjanje enoličnih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni na centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot ključi v vnaprejšnji skupni rabi WPA, ki so shranjeni v AP in telefonu.
-
Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti.
Z WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.
Telefon za zaščito glasovnega prometa prek brezžične povezave podpira šifriranje na podlagi AES za preverjanje pristnosti WPA2/WPA3. AES je simetrična šifra blokov, ki jo standardizira NIST. AES uporablja fiksno 128-bitno velikost bloka in podpira velikosti ključev 128 bitov, 192 bitov in 256 bitov. V omrežjih Wi-Fi AES uporabljajo zbirke šifer, kot sta CCMP ali GCMP, preverjanje pristnosti pa ločeno zagotavljajo PSK, SAE ali 802.1X/EAP, odvisno od konfiguriranega varnostnega načina WLAN. Podprta zbirka šifer in velikost ključa sta odvisni od modela telefona in konfiguracije WLAN.
Ko telefon uporablja šifriranje AES, so med AP in telefonom šifrirani signalni paketi SIP in glasovni paketi Real-Time Transport Protocol (RTP).
Sheme za preverjanje pristnosti in šifriranje so vzpostavljene znotraj brezžičnega omrežja LAN. VLAN-i so konfigurirani v omrežju in na AP-jih ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se poveže z VLAN in posebno shemo preverjanja pristnosti in šifriranja. Če želite, da brezžične odjemalske naprave uspešno preverijo pristnost, morate konfigurirati iste SSID-je z njihovimi shemami preverjanja pristnosti in šifriranja v AP-jih in telefonu.
Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.
Ko uporabljate ključ v vnaprejšnji skupni rabi WPA2 ali SAE, mora biti ključ v vnaprejšnji skupni rabi statično nastavljen na telefonu. Ti ključi se morajo ujemati s tipkami na AP.
Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za Cisco brezžični telefon 9821, ki ustrezajo konfiguraciji AP.
| FSR Vrsta | Preverjanje pristnosti | Upravljanje ključev | Šifriranje | Zaščiteni okvir upravljanja (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Ne |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | da |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | da |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | da |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | da |
| Brez FT | Suita-B | WPA-EAP-SUITE-B | GCMP | da |
| Brez FT | Suita-B-192 | WPA-EAP-SUITE-B-192 | GCMP | da |
Nastavitev profila Wi-Fi
Konfigurirate lahko profil Wi-Fi in ga dodelite Cisco Wireless Phone 9821. Ta profil vsebuje potrebne parametre, da telefon vzpostavi povezavo Wi-Fi in se nato registrira z Cisco Unified CM. Ko ustvarite in uporabljate profil Wi-Fi, vam ali vašim uporabnikom ni treba konfigurirati brezžičnega omrežja za posamezne telefone.
Priporočamo, da uporabite varen profil z omogočenim šifriranjem TFTP, da pri uporabi profila Wi-Fi zaščitite ključe in gesla.
Telefoni podpirajo en strežniški certifikat na način namestitve (ročno, SCEP ali TFTP).
Preden konfigurirate profil WLAN, imejte v mislih naslednje opombe:
-
Uporabniško ime in geslo
-
Če vaše omrežje za preverjanje pristnosti uporabnika uporablja EAP-FAST in PEAP, morate konfigurirati uporabniško ime in geslo, če je tako potrebno v storitvi klicnega uporabnika oddaljene avtentikacije (RADIUS) in telefonu.
- Poverilnice, ki jih vnesete v profil brezžičnega omrežja LAN, morajo biti enake poverilnicam, ki ste jih konfigurirali v strežniku RADIUS.
-
Če uporabljate domene v omrežju, morate vnesti uporabniško ime z imenom domene v obliki:domena\
uporabniško ime.
-
-
Z naslednjimi dejanji lahko izbrišete obstoječe geslo Wi-Fi:
- Vnos neveljavnega uporabnika ID ali gesla
- Nameščanje neveljavnega ali poteklega korenskega CA Ko je vrsta EAP nastavljena na PEAP-MSCHAPV2 ali PEAP-GTC
- Onemogočanje tipa EAP v uporabi na strežniku RADIUS, preden telefon preklopite na nov tip EAP
- Če želite spremeniti vrsto EAP, najprej omogočite novo vrsto EAP na strežniku RADIUS, nato pa telefon preklopite na tip EAP. Ko so vsi telefoni spremenjeni v nov tip EAP, lahko po želji onemogočite prejšnjo vrsto EAP.
| 1 |
V Cisco Unified Communications Manager Administration izberite . |
| 2 |
Kliknite Dodaj novo. |
| 3 |
V razdelku Informacije o profilu brezžičnega omrežja LAN nastavite parametre:
|
| 4 |
V razdelku Wireless Settings nastavite parametre:
|
| 5 |
V razdelku Nastavitve preverjanja pristnosti nastavite način preverjanja pristnosti na enega od teh načinov preverjanja pristnosti: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK in Brez. Cisco Wireless Phone 9821 ne podpira WEP. Ko nastavite to polje, boste morda videli dodatna polja, ki jih morate nastaviti.
Cisco Wireless Phone 9821 ne podpira polja Profil dostopa do omrežja. |
| 6 |
Kliknite Shrani. |
Kaj storiti naslednje
Povežite profil brezžičnega omrežja LAN s skupino profilov WLAN in nato uporabite skupino profilov WLAN v skupini naprav ( naprav) ali neposredno v telefon ().
Namestitev uporabniškega potrdila s spletne strani skrbništva telefona
Uporabniški certifikat lahko ročno namestite v telefon, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.
Vnaprej nameščeni proizvodno nameščeni certifikat (MIC) lahko uporabite kot uporabniški certifikat za EAP-TLS.
Po namestitvi uporabniškega certifikata morate verigo CA, ki je izdala uporabniški certifikat, dodati na seznam zaupanja strežnika RADIUS.
Preden začnete
Preden lahko namestite uporabniško potrdilo za telefon, morate imeti:
-
Uporabniško potrdilo, shranjeno v računalniku. Certifikat mora biti v formatu PKCS #12.
-
Geslo za izvleček potrdila. Dolžina gesla ne sme presegati 32 znakov.
| 1 |
Na spletni strani skrbništva telefona izberite Potrdila. |
| 2 |
Poiščite polje Uporabniško nameščeno in kliknite Namesti. |
| 3 |
Poiščite potrdilo v računalniku. |
| 4 |
V polje Izpisi geslo vnesite izvleček gesla potrdila. |
| 5 |
Kliknite Naloži. |
| 6 |
Ko je prenos končan, znova zaženite telefon. |
Namestitev overitelja certifikata strežnika za preverjanje pristnosti s spletne strani skrbništva telefona
Overitelja overniškega strežnika lahko v telefon namestite ročno, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.
Nameščeno mora biti korensko potrdilo CA, ki je izdalo certifikat strežnika RADIUS.
Preden začnete
Preden lahko certifikat namestite v telefon, morate imeti v računalniku shranjeno različico overitelja strežnika za preverjanje pristnosti. Potrdilo mora biti kodirano v PEM (Base-64) ali DER.
| 1 |
Na spletni strani skrbništva telefona izberite Potrdila. |
| 2 |
Poiščite polje Overi strežnika za preverjanje pristnosti in kliknite Namesti. |
| 3 |
Poiščite potrdilo v računalniku. |
| 4 |
Kliknite Naloži. |
| 5 |
Ko je prenos končan, znova zaženite telefon. |
Ročno odstranjevanje varnostnega potrdila s spletne strani skrbništva telefona
Varnostno potrdilo lahko ročno odstranite iz telefona, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.
| 1 |
Na spletni strani skrbništva telefona izberite Potrdila. |
| 2 |
Poiščite potrdilo na strani Potrdila . |
| 3 |
Kliknite Izbriši. |
| 4 |
Po končanem postopku brisanja znova zaženite telefon. |
Nastavitev SCEP
Simple Certificate Enrollment Protocol (SCEP) je standard za samodejno omogočanje uporabe in obnavljanje certifikatov. S tem se izognete ročni namestitvi certifikatov v telefone.
Aktiviranje konfiguracijskih parametrov izdelka SCEP
Naslednje parametre SCEP morate konfigurirati na Cisco Unified Communications Manager (Unified CM).
-
RA IP naslov ali ime gostitelja
-
SHA-1 ali SHA-256 prstni odtis korenskega certifikata CA za strežnik SCEP
Organ za registracijo Cisco IOS (RA) služi kot posrednik strežniku SCEP. Odjemalec SCEP na telefonu uporablja parametre, ki so preneseni iz Cisco Unified CM. Ko konfigurirate parametre, telefon pošlje zahtevo SCEP getcs RA in korenski certifikat CA se potrdi z definiranim prstnim odtisom.
| 1 |
V možnosti Cisco Unified Communications Manager Administration izberite . |
| 2 |
Poiščite telefon. |
| 3 |
Pomaknite se do območja postavitve Konfiguracija posameznega izdelka. |
| 4 |
Izberite potrditveno polje WLAN SCEP Server , da aktivirate parameter SCEP. |
| 5 |
Potrdite polje WLAN Root CA Fingerprint (SHA256 ali SHA1), da aktivirate parameter SCEP QED. |
Podpora strežnika SCEP
Če uporabljate strežnik SCEP (Simple Certificate Enrollment Protocol), lahko strežnik samodejno vzdržuje vaše uporabniške in strežniške certifikate. V strežniku SCEP konfigurirajte registracijskega agenta SCEP (RA) tako, da:
-
Delujte kot točka zaupanja PKI
-
Delujte kot PKI RA
-
Izvajanje preverjanja pristnosti naprave s strežnikom RADIUS
Za več informacij glejte dokumentacijo strežnika SCEP.
Nastavitev Locally Significant Certificate (LSC)
Obstaja nekaj načinov za namestitev LSC. To vzorčno opravilo velja za nastavitev LSC z metodo niza za preverjanje pristnosti na brezžičnem telefonu Cisco 9821.
Preden začnete
Prepričajte se, da sta ustrezni varnostni konfiguraciji Cisco Unified CM in certificate authority proxy function (CAPF) končani.
-
Datoteka CTL ali ITL ima certifikat CAPF.
-
V razdelku Cisco Unified Communications Operating System Administration preverite, ali je potrdilo CAPF nameščeno.
-
CAPF se izvaja in konfigurira.
Za več informacij o teh nastavitvah si oglejte dokumentacijo za izdajo Cisco Unified CM.
| 1 |
Pridobite niz za preverjanje pristnosti CAPF, ki je bil nastavljen ob konfiguraciji CAPF. |
| 2 |
V telefonu dostopajte do nastavitev |
| 3 |
Izberite . |
| 4 |
Vnesite niz za preverjanje pristnosti. |
| 5 |
Pritisnite več Telefon začne nameščati, posodabljati ali odstranjevati LSC, odvisno od konfiguracije CAPF. Ko je postopek končan, se na telefonu prikaže Nameščeno ali Ni nameščeno. Postopek namestitve, posodobitve ali odstranitve LSC lahko traja dlje časa. Ko je postopek namestitve telefona uspešen, se |
802.1X preverjanje pristnosti za žična omrežja
Cisco Wireless Phone 9821 podpira preverjanje pristnosti 802.1X za žična omrežja. To se običajno uporablja med samodejnim omogočanjem uporabe, ko je telefon povezan z namiznim polnilnikom prek podprtega vmesnika USB-to-Ethernet.
Podpora za preverjanje pristnosti 802.1X v žičnih omrežjih zahteva več komponent:
-
Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebujejo prosilno sredstvo 802.1X. Ta pripomoček omogoča skrbnikom omrežja, da nadzorujejo povezljivost telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.
-
Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo RADIUS.
-
Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila EAP med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.
Stikala Cisco IP Phones in Cisco Catalyst tradicionalno uporabljajo Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so razporeditev VLAN in zahteve glede moči v vrsti.
Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.
-
Konfigurirajte obhod CDP/LLDP glas VLAN.
-
Konfigurirajte strežnik za preverjanje pristnosti in stikalo, preden omogočite preverjanje pristnosti 802.1X za žična omrežja v telefonu.
-
Konfiguriraj glas VLAN: Ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
- Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, ga lahko konfigurirate tako, da uporablja glas VLAN.
- Onemogočeno: Če stikalo ne podpira preverjanja pristnosti z več domenami, onemogočite Voice VLAN in razmislite o dodelitvi vrat izvornemu VLAN.
-
Cisco Wireless Phone 9821 ima v PID drugačno predpono kot za druge telefone Cisco. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš brezžični telefon Cisco 9821.
Na primer, PID brezžičnega telefona Cisco 9821 je WP-9821. Nastavite lahko Radius· Uporabniško ime za
začetek z WPaliVsebuje WPv obeh naslednjih razdelkih: -
Omogočanje preverjanja pristnosti 802.1X za žična omrežja v telefonu
Če želite omogočiti preverjanje pristnosti 802.1X za žična omrežja v telefonu, sledite tem korakom. Upoštevajte, da je preverjanje pristnosti 802.1X za Wi-Fi privzeto omogočeno in ne zahteva ročne konfiguracije.
| 1 |
Dostop do nastavitev |
| 2 |
Če ste pozvani, vnesite geslo za dostop do menija Nastavitve . Geslo lahko dobite pri skrbniku. |
| 3 |
Izberite . |
| 4 |
Označite preverjanje pristnosti naprave in pritisnite Vklopljeno. |
Omogočite preverjanje pristnosti 802.1X za žična omrežja v Cisco Unified Communications Manager Administration
Če želite omogočiti preverjanje pristnosti 802.1X za žična omrežja na Cisco Unified CM, sledite tem korakom. Upoštevajte, da je preverjanje pristnosti 802.1X za Wi-Fi privzeto omogočeno in ne zahteva ročne konfiguracije.
Stanje transakcije in varnostne nastavitve si lahko ogledate v meniju telefonskega zaslona. Če želite več informacij, glejte meni Varnostne nastavitve v telefonu.
| 1 |
V oznaki Cisco Unified Communications Manager Administration izberite Naprava > Telefon. |
| 2 |
Poiščite telefon, ki ga boste nastavili. |
| 3 |
Pomaknite se do območja postavitve konfiguracije za določen izdelek. |
| 4 |
V spustnem meniju 802.1x Authentication ( Preverjanje pristnosti 802.1x) izberite Omogočeno . Ko je možnost preverjanja pristnosti naprave na Cisco Wireless Phone 9821 konfigurirana na Omogočeno ali onemogočeno, postane samo za branje, kar uporabnikom preprečuje spreminjanje nastavitev preverjanja pristnosti 802.1X. |
| 5 |
Izberite Shrani. |
| 6 |
Izberite Uporabi konfiguracijo. |
Meni varnostnih nastavitev v telefonu
Če si želite informacije o varnostnih nastavitvah ogledati v meniju telefona, odprite Nastavitve
in izberite . Razpoložljivost informacij je odvisna od omrežnih nastavitev v vaši organizaciji.
|
Parametri |
Možnosti |
Privzeto |
Opis |
|---|---|---|---|
|
Preverjanje pristnosti naprave |
Na Izklopljeno |
Izklopljeno |
Omogoči ali onemogoči preverjanje pristnosti 802.1X v telefonu. Nastavitev parametrov lahko ohranite po registraciji telefona Out-Of-Box (OOB). |
|
Stanje transakcije | Onemogočeno |
Prikaže stanje preverjanja pristnosti 802.1X. Država je lahko (ni omejena na):
| |
|
Protokol | Brez |
Prikaže metodo EAP, ki se uporablja za preverjanje pristnosti 802.1X. Protokol je lahko EAP-FAST ali EAP-TLS. |
Nastavitev podprtih različic TLS
Nastavite lahko najmanjšo različico TLS, ki je potrebna za odjemalca oziroma strežnika.
Privzeto je minimalna TLS različica strežnika in odjemalca 1.2. Nastavitev vpliva na naslednje funkcije:
- Povezava s spletnim dostopom HTTPS
- Uvajanje za telefon na mestu uporabe
- Storitve HTTPS, kot so imeniške storitve
- Varnost na prenosni plasti Datagram (DTLS)
- Entiteta dostopa do vrat (PAE)
- Protokol razširljive avtentikacije – varnost na prenosni plasti (EAP-TLS)
Če želite več informacij o združljivosti TLS 1.3 za Cisco IP Phones, glejte TLS 1.3 Matrika združljivosti za izdelke Cisco Collaboration Products.
| 1 |
V Cisco Unified Communications Manager Administration po potrebi izvedite eno od naslednjih dejanj:
Konfiguracija sledi hierarhični strukturi:
|
| 2 |
Nastavite polje TLS Client Min Version : Možnost TLS 1.3 je na voljo na Cisco Unified CM 15SU2 ali novejši.
|
| 3 |
Nastavite polje TLS Server Min Version :
|
| 4 |
Kliknite Shrani. |
| 5 |
Kliknite Uporabi konfiguracijo. |
| 6 |
Znova zaženite telefone. |
TURN izklopljen zvočnik in slušalke na brezžičnem telefonu Cisco 9821
Na voljo imate možnost, da trajno TURN izklopite zvočnik in slušalke na brezžičnem telefonu Cisco 9821 za svojega uporabnika. Izklop teh zvočnih izhodov zagotavlja, da pogovorov ne slišijo drugi v bližini, kar je pomembno v skupnih ali odprtih pisarniških okoljih.
| 1 |
V oznaki Cisco Unified Communications Manager Administration izberite . |
| 2 |
Poiščite telefon, ki ga boste nastavili. |
| 3 |
Pomaknite se do območja postavitve konfiguracije za določen izdelek. |
| 4 |
Potrdite eno ali več naslednjih potrditvenih polj do TURN izklopite zmogljivosti telefona:
Ta potrditvena polja privzeto niso potrjena. |
| 5 |
Izberite Shrani. |
| 6 |
Izberite Uporabi konfiguracijo. |
