- Početak
- /
- Članak
Hvala na povratnim informacijama.
Bezbednost Cisco IP telefona
U ovom članku
Povratne informacije?Ovaj članak pomoći je za Cisco Desk telefon serije 9800 i Cisco Video Phone 8875 registrovani za Cisco BroadWorks.
Ručno instalirajte prilagođeni sertifikat uređaja
Možete ručno da instalirate prilagođeni sertifikat uređaja (CDC) na telefon otpremanjem sertifikata sa veb stranice za administraciju telefona.
Pre nego što počnete
Da biste mogli da instalirate sertifikat prilagođenog uređaja za telefon, morate da imate:
- Datoteka sertifikata (.p12 ili .pfx) je sačuvana na vašem računaru. Datoteka sadrži sertifikat i privatni ključ.
- Lozinka za ekstrakciju sertifikata. Lozinka se koristi za dešifrovanje datoteke sertifikata.
| 1 |
Pristupite veb stranici za administraciju telefona. |
| 2 |
Izaberite Sertifikat. |
| 3 |
U odeljku Dodaj sertifikat kliknite na dugme Pregledaj.... |
| 4 |
Pregledajte sertifikat na računaru. |
| 5 |
U polju Ekstrahuj lozinku unesite lozinku za ekstrakciju sertifikata. |
| 6 |
Kliknite na Otpremi. Ako su datoteka sertifikata i lozinka tačni, dobićete poruku „Sertifikat je dodat.“. U suprotnom, otpremanje ne uspe sa porukom o grešci koja ukazuje na to da sertifikat ne može da se otpremi.
|
| 7 |
Da biste proverili detalje instaliranog sertifikata, kliknite na Prikaži u odeljku Postojeći sertifikati. |
| 8 |
Da biste uklonili instalirani sertifikat sa telefona, kliknite na Izbriši u odeljku Postojeći sertifikati. Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.
Ako je sertifikat uspešno uklonjen, dobićete poruku „Sertifikat izbrisan.“. |
Automatski instaliraj prilagođeni sertifikat uređaja pomoću SCEP-a
Možete podesiti parametre za Simple Certificate Enrollment Protocol (SCEP) da biste automatski instalirali prilagođeni sertifikat uređaja (CDC), ako ne želite ručno da otpremite datoteku sertifikata ili nemate datoteku sertifikata na mestu.
Kada su SCEP parametri pravilno konfigurisani, telefon šalje zahteve SCEP serveru, a CA sertifikat se potvrđuje pomoću definisanog otiska prsta.
Pre nego što počnete
Da biste mogli da obavite automatsku instalaciju certifikata prilagođenog uređaja za telefon, morate da imate:
- Adresa SCEP servera
- SHA-1 ili SHA-256 otisak korenskog CA sertifikata za SCEP server
| 1 |
Pristupite veb stranici za administraciju telefona. |
| 2 |
Izaberite Sertifikat. |
| 3 |
U odeljku SCEP konfiguracija 1 podesite parametre kao što je opisano u sledećoj tabeli Parametri za SCEP konfiguraciju. |
| 4 |
Kliknite na opciju Prosledi sve promene. |
Parametri za SCEP konfiguraciju
U sledećoj tabeli definisana je funkcija i upotreba SCEP parametara konfiguracije u odeljku SCEP konfiguracija 1 na kartici Sertifikat u veb-interfejsu telefona. Takođe definiše sintaksu niske koja se dodaje u datoteku za konfiguraciju telefona (cfg.xml) za konfigurisanje parametra.
| Parametar | Opis |
|---|---|
| Server |
Adresa SCEP servera. Ovaj parametar je obavezan. Uradite nešto od sledećeg:
Važeće vrednosti: URL ili IP adresu. HTTPS šema nije podržana. Podrazumevano Prazno |
| Root CA otisak prsta |
SHA256 ili SHA1 otisak prsta za validaciju tokom SCEP procesa. Ovaj parametar je obavezan. Uradite nešto od sledećeg:
Podrazumevano Prazno |
| Lozinka za izazov |
Lozinka izazova za ovlašćenje za izdavanje sertifikata (CA) protiv telefona tokom upisa sertifikata putem SCEP-a. Ovaj parametar je opcionalan. Prema stvarnom SCEP okruženju, ponašanje lozinke za izazov varira.
Uradite nešto od sledećeg:
Podrazumevano Prazno |
Konfiguracija SCEP parametara putem DHCP opcije 43
Pored upisa SCEP sertifikata pomoću ručnih konfiguracija na veb stranici telefona, možete da koristite i opciju 43 za popunjavanje parametara sa DHCP servera. DHCP opcija 43 je unapred konfigurisana sa SCEP parametrima, a kasnije telefon može da preuzme parametre sa DHCP servera da bi obavio registraciju SCEP sertifikata.
- Konfiguracija SCEP parametara putem DHCP opcije 43 dostupna je samo za telefon na kom se izvodi resetovanje fabrike.
- Telefoni se neće stavljati na mrežu koja podržava i opciju 43 i udaljenu dodelu privilegija (na primer, opcije 66, 160, 159, 150 ili obezbeđivanje oblaka). U suprotnom, telefoni možda neće dobiti Opciju 43 konfiguracije.
Da biste registrovali SCEP sertifikat konfigurisanjem SCEP parametara u DHCP opciji 43, uradite sledeće:
- Pripremite SCEP okruženje.
Za informacije o podešavanju SCEP okruženja pogledajte dokumentaciju za SCEP server.
- Podesite DHCP opciju 43 (definisano u 8.4 Informacije specifične za dobavljača, RFC 2132).
Podopcije (10-15) su rezervisane za metod:
Parametar na veb stranici telefona Понедељке Tip Дужина (po bajtovima) Obavezno FIPS režim 10 Bulovu 1 Ne* Server 11 Niske 208 - dužina (lozinka za izazov) Da Root CA otisak prsta 12 Лезбејки 20 ili 32 Da Lozinka za izazov 13 Niske 208 - dužina (server) Ne* Omogući 802.1X potvrdu identiteta 14 Bulovu 1 Ne Izbor sertifikata 15 nepotpisano 8-bitni 1 Ne Kada koristite DHCP opciju 43, obratite pažnju na sledeće karakteristike metode:
- Podopcije (10–15) su rezervisane za prilagođeni sertifikat uređaja (CDC).
- Maksimalna dužina opcije DHCP 43 je 255 bajtova.
- Maksimalna dužina Servera + lozinke za izazov biće manja od 208 bajtova.
- Vrednost FIPS režima biće u skladu sa konfiguracijom dodele privilegija za priključivanje. U suprotnom, telefon neće uspeti da preuzme prethodno instalirani sertifikat nakon priključivanja. Односно:
- Ako će telefon biti registrovan u okruženju u kom je FIPS režim onemogućen, nećete morati da konfigurišete parametar FIPS režim u DHCP opciji 43. FIPS režim je podrazumevano onemogućen.
- Ako će telefon biti registrovan na okruženje u kom je omogućen FIPS režim, morate da omogućite FIPS režim u DHCP opciji 43. Detaljnije o tome pročitajte u članku Omogućavanje FIPS režima.
- Lozinka u opciji 43 je u cleartext.
Ako je lozinka za izazov prazna, telefon koristi MIC/SUDI za početnu upis i obnavljanje sertifikata. Ako je lozinka izazova konfigurisana, koristi se samo za početnu upis a instalirani sertifikat će se koristiti za obnavljanje sertifikata.
- Omogući 802.1X potvrdu identiteta i izbor sertifikata koriste se samo za telefone na kablovskoj mreži.
- DHCP opcija 60 (identifikator klase vendor) se koristi za identifikovanje modela uređaja.
U sledećoj tabeli dat je primer DHCP opcije 43 (suboptions 10–15):
Последња decimal/hex Dužina vrednosti (u bajtu) decimalno/heks Vrednost HEX vrednost 10 / 0a 1/01 1 (0: искључена; 1: укључено) 01 11 / 0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625c5b755d73f5925285f8f5ff5d400 af 12040870625c5b755d73f5925285f8f5ff5d400 af 13/0d 16/10 под233ccf9b9952a15 4432333434346394239393532413135 14 / 0e 1/01 1 (0: Нијер; 1: Da* 01 15 / 0f 1/01 1 (0: Proizvodnja je instalirana; 1: Prilagođeno instalirano) 01 Rezime vrednosti parametra:
-
FIPS režim = omogućen
-
Server =
http://10.79.57.91 -
Root CA otisak prsta =
12040870625C5B755D73F5925285F8F5FF5D38 AF -
Lozinka za izazov = D233CCF9B9952A15
-
Omogući 802.1X potvrdu identiteta = Da
-
Izbor sertifikata = Prilagođeno instalirano
Sintaksa konačne hex vrednosti je:
{<suboption><length><value>}...Prema gorenavedenim vrednostima parametra, konačna hex vrednost je sledeća:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D38 AF0d104432333434639423935324131350e01010f0101 - Konfigurišite DHCP opciju 43 na DHCP serveru.Ovaj korak obezbeđuje primer DHCP opcije 43 konfiguracije na Cisco registru mreže.
- Dodajte skup definicije DHCP opcija.
Izborna niska je ime modela IP telefona. Važeća vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.
- Dodajte DHCP opciju 43 i podopcije u DHCP skup definicije opcija.
Primer:
- Dodajte opcije 43 u DHCP smernice i podesite vrednost na sledeći način:
Primer:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D38 AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Potvrdite podešavanja. Možete koristiti Wireshark da biste zabeležili trag mrežnog prometa između telefona i usluge.
- Dodajte skup definicije DHCP opcija.
- Izvršite vraćanje na fabrička podešavanja za telefon.
Kada se telefon resetuje, parametri Server, Root CA otisak prsta i Challenge Password će se automatski popuniti. Ovi parametri se nalaze u odeljku SCEP konfiguracija 1 iz odeljka na veb stranici za administraciju telefona.
Da biste proverili detalje instaliranog sertifikata, kliknite na Prikaži u odeljku Postojeći sertifikati.
Da biste proverili status instalacije sertifikata, izaberite stavku . Preuzimanje statusa 1 prikazuje najnoviji rezultat. Ako dođe do bilo kakvih problema tokom registracije sertifikata, status preuzimanja može da prikaže razlog problema u svrhe rešavanja problema.
Ako izazov za potvrdu identiteta lozinke ne uspe, korisnici će biti upitani da unesu lozinku na ekran telefona. - (Opcionalno): Da biste uklonili instalirani sertifikat sa telefona, kliknite na Izbriši u odeljku Postojeći sertifikati.Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.
Obnavljanje sertifikata kompanije SCEP
Sertifikat uređaja može automatski da se osveži SCEP procesom.
- Telefon proverava da li će sertifikat isteći za 15 dana svaka 4 sata. U tom slučaju telefon automatski pokreće postupak obnavljanja sertifikata.
- Ako je lozinka za izazov prazna, telefon koristi MIC/SUDI za početnu upis i za obnavljanje sertifikata. Ako je konfigurisana lozinka za izazov, koristi se samo za početno prijavljivanje, dok se postojeći/instalirani sertifikat koristi za obnavljanje sertifikata.
- Telefon ne uklanja stari sertifikat uređaja dok ne preuzme novi.
- Ako obnavljanje sertifikata ne uspe jer sertifikat uređaja ili CA ističe, telefon automatski pokreće početnu upis. U međuvremenu, ako potvrda identiteta lozinke za izazov ne uspe, ekran za unos lozinke se pojavljuje na ekranu telefona, a korisnicima se traži da unesu lozinku za izazov na telefon.
Omogući FIPS režim
Možete da podesite da telefonski standard za obradu informacija (FIPS) bude u skladu.
FIPS je skup standarda koji opisuju obradu dokumenata, algoritme šifrovanja, i druge standarde informacionih tehnologija za upotrebu u okviru nevojne vlade i od strane vladinih ugovarača i prodavaca koji rade sa agencijama. CiscoSSL FOM (FIPS Object Module) je pažljivo definisana softverska komponenta i dizajniran za kompatibilnost sa CiscoSSL bibliotekom, tako da proizvodi koji koriste CiscoSSL biblioteku i API mogu da se konvertuju u upotrebu FIPS 140-2 potvrđene kriptografije sa minimalnim naporom.
| 1 |
Pristupite veb stranici za administraciju telefona. |
| 2 |
Izaberite . |
| 3 |
U odeljku Bezbednosna podešavanja odaberite Da ili Ne iz parametra FIPS režima. |
| 4 |
Kliknite na opciju Prosledi sve promene. Kada omogućite FIPS, sledeće funkcije bez problema rade na telefonu:
|
Ručno uklonite bezbednosni sertifikat
Bezbednosni sertifikat možete ručno da uklonite sa telefona ako SCEP (Simple Certificate Enrollment Protocol) nije dostupan.
| 1 |
Na veb stranici za administraciju telefona izaberite stavku Certifikati. |
| 2 |
Pronađite sertifikat na stranici Sertifikati. |
| 3 |
Kliknite na dugme Izbriši. |
| 4 |
Ponovo pokrenite telefon kada se završi postupak brisanja. |
Podesite lozinku korisnika i administratora
Kada se telefon prvi put registruje na sistem kontrole poziva ili kada izvršite vraćanje na fabrička podešavanja na telefonu, morate da podesite korisničku i administratorsku lozinku da biste unapredili bezbednost telefona. Samo kada je lozinka podešena, promene možete da prosledite sa veb stranice telefona.
Po podrazumevanim postavkama, na telefonu nije omogućeno upozorenje o lozinki. Kada telefon nema lozinku korisnika ili administratora, prikazuju se sledeća upozorenja:
- Na veb stranici telefona prikazana je „Nije obezbeđena lozinka administratora. Veb je u režimu samo za čitanje i ne možete slati promene. Promenite lozinku.“ u gornjem levom uglu.
Polja korisnička lozinka i administratorska lozinka prikazuju upozorenje „Nije navedena lozinka“ ako je prazna.
- Na ekranu telefona Problemi i dijagnostika prikazuje problem „Nije obezbeđena lozinka“.
| 1 |
Pristup veb stranici za administraciju telefona |
| 2 |
Izaberite . |
| 3 |
(Opcionalno) U odeljku Konfiguracija sistema postavite parametar Prikaži parametar upozorenja za lozinku na Da, a zatim kliknite na Pošalji sve promene. Takođe možete omogućiti parametre u datoteci za konfiguraciju telefona (cfg.xml).
Podrazumevano Da Opcionalno Da|Ne Kada je parametar podešen na, upozorenje za lozinku se ne pojavljuje ni na veb stranici ili na ekranu telefona. Takođe, režim samo priprema za veb stranicu se neće aktivirati iako je lozinka prazna. |
| 4 |
Pronađite parametar Korisnička lozinka ili Administratorska lozinka i kliknite na Promeni lozinku pored parametra. |
| 5 |
Unesite trenutnu korisničku lozinku u polje Stara lozinka. Ako nemate lozinku, ostavite polje prazno. Podrazumevana vrednost je prazna.
|
| 6 |
Unesite novu lozinku u polje Nova lozinka. |
| 7 |
Kliknite na dugme Pošalji. Poruka Lozinka je uspešno promenjena. biće prikazana na veb stranici. Veb stranica će se osvežiti za nekoliko sekundi. Upozorenje pored parametra će nestati. Kada podesite korisničku lozinku, ovaj parametar prikazuje sledeće u XML datoteci za konfiguraciju telefona (cfg.xml):
Ako dobijete kôd greške 403 kada pokušate da pristupite veb-stranici telefona, morate da podesite lozinku korisnika ili administratora tako što ćete dodeliti privilegije u datoteci za konfiguraciju telefona (cfg.xml). Na primer, unesite nisku u ovom formatu:
|
802.1X potvrda identiteta
Cisco IP telefoni imaju podršku za 802.1X Potvrdu Identiteta.
Cisco IP telefoni i Cisco Catalyst prekidači tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što su raspodela VLAN mreže i zahtevi za napajanje na liniji. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL mehanizam prolaza. Ovaj mehanizam omogućava radnoj stanici priključenoj na Cisco IP telefon da prenese EAPOL poruke na 802.1X autorizator na LAN prekidaču. Mehanizam prolaza obezbeđuje da IP telefon ne reaguje kao LAN prekidač za potvrdu identiteta krajnje tačke podataka pre pristupa mreži.
Cisco IP telefoni takođe obezbeđuju mehanizam logotipa proxy EAPOL. Ako se lokalno priključeni računar prekine vezu sa IP telefonom, LAN prekidač neće videti fizičku vezu koja je neuspešna jer se održava veza između LAN prekidača i IP telefona. Da ne bi došlo do kompromitovanja integriteta mreže, IP telefon šalje EAPOL-Logoff poruku prekidaču u ime računara nizvodnog, što aktivira LAN prekidač da obriše unos za potvrdu identiteta za računar nizvodnog.
Podrška za 802.1X potvrdu identiteta zahteva nekoliko komponenti:
-
Cisco IP telefoni Telefon pokreće zahtev za pristup mreži. Cisco IP telefoni sadrže pretplatnika od 802.1X. Ovaj zamenik omogućava administratorima mreže da kontrolišu mogućnosti povezivanja IP telefona sa LAN portovima za zamenu. Trenutno izdanje pretplatnika za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za potvrdu identiteta mreže.
-
usluga potvrde identiteta Server za potvrdu identiteta i prekidač moraju oba biti konfigurisani pomoću deljene tajne koja potvrđuje identitet telefona.
-
Prebaci: Prekidač mora da podržava 802.1X, tako da može da deluje kao autorizator i da prenese poruke između telefona i servera za potvrdu identiteta. Kada se razmena završi, prekidač odobrava ili sprečava pristup telefonu mreži.
Morate da izvršite sledeće radnje da biste konfigurisali 802.1X.
-
Konfigurišite ostale komponente pre nego što omogućite 802.1X potvrdu identiteta na telefonu.
-
Konfiguriši port PC računara: Standard 802.1X ne uzima u obzir VLAN mreže i zato preporučuje da samo jedan uređaj bude potvrđen na određenom portu prekidača. Međutim, neki prekidači podržavaju višenamensku potvrdu identiteta. Konfiguracija zamene određuje da li možete da povežete računar sa računarskim priključkom telefona.
-
укључено: Ako koristite prekidač koji podržava višestruku potvrdu identiteta, možete da omogućite priključak računara i povežete računar sa njim. U ovom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-logoff da bi nadgledali razmenu potvrde identiteta između prekidača i priloženog računara.
Za više informacija o podršci za IEEE 802.1X na Cisco Catalyst prekidačima pogledajte vodiče za konfiguraciju Cisco Catalyst prekidača na:
http://www.cisco.com/en/SAD/proizvodi/hw/switches/ps708/tsd_products_support_series_home.html
-
Искључена: Ako prekidač ne podržava više uređaja koji podržavaju 802.1X na istom portu, trebalo bi da onemogućite port računara kada je omogućena potvrda identiteta 802.1X. Ako ne onemogućite ovaj port i zatim pokušate da mu priložite računar, prekidač odbija pristup mreži i telefonu i računaru.
-
- Konfigurisanje glasovnog VLAN-a: Pošto standard 802.1X ne računa za VLAN mreže, trebalo bi da konfigurišete ovo podešavanje na osnovu podrške za zamenu.
- укључено: Ako koristite prekidač koji podržava potvrdu identiteta sa više domena, možete da ga nastavite da koristite glasovnu VLAN mrežu.
- Искључена: Ako prekidač ne podržava potvrdu identiteta sa više domena, onemogućite glasovnu VLAN mrežu i razmislite o dodeljivanju porta izvornom VLAN-u.
- (Samo za Cisco Desk telefon serije 9800)
Cisco Desk telefon serije 9800 ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili telefonu da prođe 802.1X potvrdu identiteta, podesite Radius·User-Name parametar tako da uključi vaš Cisco Desk telefon 9800 serije.
Na primer, PID telefona 9841 je DP-9841; možete da podesite Radius·User-Name da počne sa DP-om ili Sadrži DP. Možete da ga podesite u oba odeljka:
-
Omogući 802.1X potvrdu identiteta
Kada je 802.1X potvrda identiteta omogućena, telefon koristi 802.1X potvrdu identiteta da bi zatražio pristup mreži. Kada je 802.1X potvrda identiteta onemogućena, telefon koristi Cisco Discovery Protocol (CDP) za dobijanje VLAN i pristupa mreži. Takođe možete da vidite status transakcije i promenu u meniju ekrana telefona.
Kada je omogućena potvrda identiteta 802.1X, možete da izaberete i sertifikat uređaja (MIC/SUDI ili prilagođeno) za početnu upis i obnavljanje sertifikata. Tipično, MIC je za Cisco Video Phone 8875, SUDI je za Cisco Desk Phone 9800 seriju. CDC može da se koristi za potvrdu identiteta samo u 802.1x.
| 1 |
Obavite jednu od sledećih radnji da biste omogućili potvrdu identiteta 802.1X:
| ||||||||||||||||||||
| 2 |
Izaberite sertifikat (MIC ili prilagođeni) za potvrdu identiteta 802.1X na veb stranici telefona.
Više informacija o tome kako da izaberete tip sertifikata na ekranu telefona potražite u članku Povezivanje telefona na Wi-Fi mrežu.
|
Omogućite režim koji je pokrenuo klijent za pregovore o bezbednosti medija u avionu
Da biste zaštitili sesije medija, možete da konfigurišete telefon tako da pokreće pregovore o bezbednosti medija sa serverom. Bezbednosni mehanizam sledi standarde navedene u RFC 3329 i njegovoj verziji proširenja Imena bezbednosnog mehanizma za medije (Pogledajte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pregovora između telefona i servera može da koristi SIP protokol preko UDP, TCP i TLS. Možete da ograničite to bezbednosno pregovore o medijskom planu samo kada je protokol signalizacionog prenosa TLS.
| 1 |
Pristupite veb stranici za administraciju telefona. | ||||||
| 2 |
Izaberite . | ||||||
| 3 |
U odeljku SIP podešavanja postavite MediaSec zahtev i MediaSec preko TLS samo polja kao što je definisano u sledećoj tabeli:
| ||||||
| 4 |
Kliknite na opciju Prosledi sve promene. |
WLAN bezbednost
Pošto su svi WLAN uređaji u dometu mogu da prime sav drugi WLAN saobraćaj, obezbeđivanje glasovne komunikacije je od kritične važnosti za WLAN mreže. Da bi se uverila da ulagači ne manipulišu niti presreću glasovni saobraćaj, Cisco arhitektura BEZBEDNE Bezbednosti podržava telefon. Više informacija o bezbednosti u mrežama potražite u članku http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Rešenje Cisco Wireless IP telefonije pruža bezbednost bežične mreže koja sprečava neovlašćeno prijavljivanje i ugroženu komunikaciju koristeći sledeće načine potvrde identiteta koje telefon podržava:
-
Otvori potvrdu identiteta: Svaki bežični uređaj može da zahteva potvrdu identiteta u otvorenom sistemu. AP koji primi zahtev može odobriti potvrdu identiteta bilo kom podnosiocu zahteva ili samo podnosiocima zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može da bude nešifrovana.
-
Proširivi protokol za potvrdu identiteta-fleksibilna potvrda identiteta putem bezbednog tunela (EAP-FAST) potvrde identiteta: Ova bezbednosna arhitektura klijentskog servera šifruje EAP transakcije u okviru tunela bezbednosti nivoa transporta (TLS) između AP-a i RADIUS servera, kao što je Identity Services Engine (ISE).
TLS tunel koristi zaštićene akreditive za pristup (PAC-s) za potvrdu identiteta između klijenta (telefona) i RADIUS servera. Server šalje klijentu ID autoriteta (AID), koji zatim bira odgovarajući PAC. Klijent (telefon) vraća PAC-Neprozirni na RADIUS server. Server dešifruje PAC primarnim ključem. Obe krajnje tačke sada sadrže PAC ključ i kreiran je TLS tunel. EAP-FAST podržava automatsko dodeljivanje PAC privilegija, ali morate da ga omogućite na RADIUS serveru.
U ISE, PAC podrazumevano ističe za jednu nedelju. Ako je na telefonu istekao PAC, potvrda identiteta kod servera RADIUS traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja PAC obezbeđivanja, podesite period isteka PAC-a na 90 dana ili više na ISE ili RADIUS serveru.
-
Proširena potvrda identiteta protokola-transporta (EAP-TLS), potvrda identiteta: EAP-TLS zahteva sertifikat klijenta za potvrdu identiteta i pristup mreži. Za bežični EAP-TLS, sertifikat klijenta može da bude MIC, LSC ili sertifikat koji je instalirao korisnik.
-
Zaštićeni protokol za potvrdu identiteta (PEAP): Šema međusobne potvrde identiteta zasnovane na Cisco vlasničkim lozinkama između klijenta (telefon) i RADIUS servera. Telefon može da koristi PEAP za potvrdu identiteta pomoću bežične mreže. Podržani su i metodi za potvrdu identiteta PEAP-MSCHAPV2 i PEAP-GTC.
-
Unapred deljeni ključ (PSK): Telefon podržava ASCII format. Morate da koristite ovaj format kada podesite unapred deljeni ključ WPA/WPA2/SAE:
ASCII: ASCII-znamenkasta niska sa 8 do 63 znaka (0–9, malo i veliko A–Z, i specijalne znakove)
Primer: GREG123567@9ZX&W
Sledeće šeme za potvrdu identiteta koriste RADIUS server za upravljanje ključevima za potvrdu identiteta:
-
wpa/wpa2/wpa3: Koristi informacije o RADIUS serveru za generisanje jedinstvenih ključeva za potvrdu identiteta. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA blokiranih ključeva koji se čuvaju na AP i telefonu.
-
Brzo bezbedno roaming: Koristi informacije o RADIUS serveru i bežičnom domenu (WDS) za upravljanje ključevima i potvrdu identiteta. WDS kreira keš bezbednosnih akreditiva za klijentske uređaje sa omogućenim FT-om radi brze i bezbedne potvrde identiteta. Cisco Desk telefon 9861 i 9871 i Cisco Video Phone 8875 podržavaju 802.11r (FT). Kako preko vazduha tako i preko DS-a podržani su kako bi se omogućilo brzo bezbedno rođenje. Međutim, toplo preporučujemo upotrebu 802.11r (FT) preko metoda vazduha.
Sa WPA/WPA2/WPA3 ključevima za šifrovanje se ne unose na telefonu, ali se automatski izvode između AP i telefona. Ali EAP korisničko ime i lozinka koje se koriste za potvrdu identiteta moraju da se unesu na svakom telefonu.
Da bi se uverio da je glasovni saobraćaj bezbedan, telefon podržava TKIP i AES za šifrovanje. Kada se ovi mehanizmi koriste za šifrovanje, i signalizacioni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP i telefona.
- бити
-
WPA koristi TKIP šifrovanje koje ima nekoliko poboljšanja preko WEP-a. TKIP obezbeđuje šifrovanje ključeva po paketu i duži vektori inicijalizacije (IV-ovi) koji jačaju šifrovanje. Pored toga, provera integriteta poruke (MIC) osigurava da se šifrovani paketi ne menjaju. TKIP uklanja predvidljivost WEP-a koja pomaže ulaznicima da dešifruju ključ WEP-a.
- успех
-
Metoda za šifrovanje koji se koristi za WPA2/WPA3 potvrdu identiteta. Ovaj nacionalni standard za šifrovanje koristi simetrični algoritam koji ima isti ključ za šifrovanje i dešifrovanje. AES koristi šifrovanje lanca blokiranja (CBC) veličine 128 bita, koje podržava veličine ključeva od 128 bita, 192 bita i 256 bita, kao minimalno. Telefon ima podršku za veličinu ključa od 256-bitnih.
Cisco Desk telefon 9861 i 9871 i Cisco Video Phone 8875 ne podržavaju Cisco protokol integriteta ključa (CKIP) sa CMIC-om.
Autentifikacija i šeme šifrovanja podešene su unutar bežične LAN mreže. VLAN mreže su konfigurisane na mreži i na AP-ovima i navode različite kombinacije potvrde identiteta i šifrovanja. SSID se povezuje sa VLAN mrežom i određenom šemom potvrde identiteta i šifrovanja. Da bi uređaji bežičnog klijenta bili uspešno potvrđeni, iste SSID-ove morate da konfigurišete sa njihovom potvrdom identiteta i šablonima šifrovanja na AP-ovima i na telefonu.
Neke šeme za potvrdu identiteta zahtevaju određene tipove šifrovanja.
- Kada koristite unapred deljeni taster WPA, unapred deljeni taster WPA2 ili SAE, unapred deljeni taster mora biti statično podešen na telefonu. Ovi ključevi moraju da se podudaraju sa ključevima koji su na AP-u.
-
Telefon podržava automatske EAP pregovore za FAST ili PEAP, ali ne i za TLS. Za EAP-TLS režim, morate ga navesti.
Šeme za potvrdu identiteta i šifrovanje u sledećoj tabeli prikazuju opcije konfiguracije mreže za telefon koje odgovaraju AP konfiguraciji.
| FSR tip | Potvrda identiteta | Upravljanje ključevima | Екстензије | Zaštićeni okvir upravljanja (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | pskPrikaži |
јединице wpa-psk-sha256 пск | успех | Ne |
| 802.11r (FT) | Вијести3color |
људи пушењер | успех | Da |
| 802.11r (FT) | TLS je |
дебљина FT-ap | успех | Ne |
| 802.11r (FT) | епипнете (wpa3) |
wpa-eap-sha256 FT-ap | успех | Da |
| 802.11r (FT) | епп-fast |
дебљина FT-ap | успех | Ne |
| 802.11r (FT) | епидебљина (wpa3) |
wpa-eap-sha256 FT-ap | успех | Da |
| 802.11r (FT) | хеп-џеп |
дебљина FT-ap | успех | Ne |
| 802.11r (FT) | јумп-peap (wpa3) |
wpa-eap-sha256 FT-ap | успех | Da |
Podešavanje Wi-Fi profila
Možete da konfigurišete Wi-Fi profil sa veb stranice telefona ili sa resinka profila udaljenog uređaja, a zatim da ga povežete sa dostupnim Wi-Fi mrežama. Možete da koristite ovaj Wi-Fi profil za povezivanje sa Wi-Fi mrežom. Trenutno je moguće konfigurisati samo jedan Wi-Fi profil.
Profil sadrži parametre potrebne za povezivanje telefona sa serverom telefona pomoću Wi-Fi mreže. Kada kreirate i koristite Wi-Fi profil, ne morate da konfigurišete bežičnu mrežu za pojedinačne telefone.
Wi-Fi profil omogućava vam da sprečite ili ograničite promene Wi-Fi konfiguracije na telefonu od strane korisnika.
Preporučujemo da koristite bezbedan profil sa protokolom omogućenim šifrovanjem za zaštitu ključeva i lozinki kada koristite Wi-Fi profil.
Kada podesite telefone tako da koriste metod EAP-FAST potvrde identiteta u bezbednosnom režimu, vašim korisnicima su potrebni pojedinačni akreditivi za povezivanje sa pristupnom tačkom.
| 1 |
Pristupite veb stranici telefona. |
| 2 |
Izaberite . |
| 3 |
U odeljku Wi-Fi profil (n) postavite parametre kao što je opisano u sledećoj tabeli Parametri za Wi-Fi profil. Konfiguracija Wi-Fi profila je takođe dostupna za prijavljivanje korisnika.
|
| 4 |
Kliknite na opciju Prosledi sve promene. |
Parametri za Wi-Fi profil
Sledeća tabela definiše funkciju i upotrebu svakog parametra u odeljku Wi-Fi profil(n) na kartici Sistem na veb stranici telefona. Takođe definiše sintaksu niske koja se dodaje u datoteku za konfiguraciju telefona (cfg.xml) za konfigurisanje parametra.
| Parametar | Opis |
|---|---|
| Ime mreže | Daje vam mogućnost da unesete ime za SSID koje će se prikazati na telefonu. Više profila može da ima isto ime mreže sa drugim režimom bezbednosti. Uradite nešto od sledećeg:
Podrazumevano Prazno |
| Režim bezbednosti | Omogućava vam da izaberete metod potvrde identiteta koji se koristi za obezbeđivanje pristupa Wi-Fi mreži. U zavisnosti od metoda koji odaberete, pojaviće se polje za lozinku tako da možete da navedete akreditive koji su potrebni za pridruživanje ovoj Wi-Fi mreži. Uradite nešto od sledećeg:
Podrazumevano Кућа |
| ID korisnika Wi-Fi mreže | Daje vam mogućnost da unesete ID korisnika za mrežni profil. Ovo polje je dostupno kada podesite režim bezbednosti na Auto, EAP-FAST ili EAP-PEAP. Ovo je obavezno polje i omogućava maksimalnu dužinu od 32 alfanumeričke znakove. Uradite nešto od sledećeg:
Podrazumevano Prazno |
| Lozinka za Wi-Fi | Daje vam mogućnost da unesete lozinku za navedeni Wi-Fi korisnički ID. Uradite nešto od sledećeg:
Podrazumevano Prazno |
| Frekventni opseg | Daje vam mogućnost da izaberete frekvenciju bežičnog signala koju koristi WLAN. Uradite nešto od sledećeg:
Podrazumevano Кућа |
| Izbor sertifikata | Daje vam mogućnost da izaberete tip sertifikata za početno upis sertifikata i obnavljanje sertifikata u bežičnoj mreži. Ovaj proces je dostupan samo za 802.1X potvrdu identiteta. Uradite nešto od sledećeg:
Podrazumevano instalirane proizvodnje |
