- Početak
- /
- Članak
Ovaj članak pomoći je za Cisco Bežični telefon 9821 registrovan na Cisco Unified Communications Manager (Unified CM).
Možete omogućiti Cisco Unified Communications Manager (Unified CM) da radi u poboljšanom bezbednosnom okruženju. Uz ova poboljšanja, mreža vašeg telefona radi u skladu sa setom striktnih kontrola za bezbednost i rizik da bi zaštitili vas i vaše korisnike.
Okruženje poboljšane bezbednosti uključuje sledeće funkcije:
-
Autentifikacija pretrage kontakta
-
TCP kao podrazumevani protokol za daljinsko evidentiranje revizije
-
Poboljšana politika akreditiva
-
Podrška za SHA-2 porodicu heševa za digitalne potpise
-
Podrška za RSA veličinu ključa do 4096 bita
Sa Cisco Unified CM Release 14.0 ili novijim, telefoni podržavaju SIP OAuth autentifikaciju.
OAuth je podržan za Proxy Trivial File Transfer Protocol (TFTP) sa Cisco Unified CM Release 14.0 (1) SU1 ili novijim.
Za dodatne informacije o bezbednosti, pogledajte sledeće vodiče:
-
Vodič za konfiguraciju sistema za Cisco Unified Communications Manager, Izdanje 15 i SU
-
Bezbednosni vodič za Cisco Unified Communications Manager, Izdanje 15 i SU
Vaš telefon može da čuva samo ograničeni broj datoteka liste poverenja identiteta (ITL). ITL fajlovi ne mogu da pređu 64K na telefonu, tako da ograničite broj fajlova koje Cisco Unified CM šalje na telefon.
Podržane bezbednosne funkcije
Bezbednosne funkcije štite od pretnji, u koje spadaju pretnje za identitet za telefon i podatke. Ove funkcije uspostavljaju i održavaju autentične komunikacione nizove između telefona i Cisco Unified Communications Manager servera i osiguravaju da telefon koristi samo datoteke sa digitalnim potpisom.
Cisco Unified Communications Manager verzija 8.5(1) i kasnije uključuju bezbednost podrazumevano, što obezbeđuje praćenje bezbednosnih funkcija za Cisco IP telefone bez pokretanja CTL klijenta:
-
Prijava datoteka za konfiguraciju telefona
-
Enkripcija datoteke za konfiguraciju telefona
-
HTTPS sa Tomcat i drugim veb servisima
Osigurajte signalizaciju i funkcije medija koje su i dalje potrebne za pokretanje CTL klijenta i upotrebite hardverske eTokens.
Implementacija bezbednosti u Cisco Unified Communications Manager sistemu sprečava krađu identiteta na telefonu i Cisco Unified Communications Manager serveru, sprečava mešanje u podatke i sprečava signalizaciju za poziv i mešanje u striming medija.
Da biste umanjili ove pretnje, Cisco IP telefonska mreža uspostavlja i održava bezbedne (šifrovane) komunikacione tokove između telefona i servera, digitalno signalizira za datoteke pre nego što se prebace na telefon i šifruje medijske tokove i signaliziranje za poziv između Cisco IP telefona.
Lokalni značajni sertifikat (LSC) instalira se na telefon nakon što obavite neophodne zadatke koji su povezani sa proksi funkcijom sertifikata autoriteta (CAPF). Možete koristiti Cisco Unified Communications Manager Administration da biste konfigurisali LSC, kao što je opisano u Cisco Unified Communications Manager Bezbednosnom vodiču . Alternativno, možete pokrenuti instalaciju LSC iz menija Bezbednost na telefonu. Ovaj meni vam takođe omogućava ažuriranje ili uklanjanje LSC.
Telefoni koriste profil bezbednosti telefona, koji definiše da li je uređaj neobezbeđen ili obezbeđen. Za više informacija o primeni bezbednosnog profila na telefona, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.
Ako podesite postavke vezane za bezbednost u Cisco Unified Communications Manager Administration, datoteka za konfiguraciju telefona sadrži osetljive informacije. Da bi se osigurala privatnost datoteke za konfiguraciju, morate da je podesite za šifrovanje. Za detaljne informacije, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.
Sledeća tabela obezbeđuje pregled bezbednosnih funkcija koje telefoni podržavaju. Za više informacija, pogledajte dokumentaciju za vašu određenu Cisco Unified Communications Manager verziju.
|
Funkcija |
Opis |
|---|---|
|
Autentifikacija slike |
Prijavljene binarne datoteke sprečavaju mešanje sa slikom firmvera pre nego što se slika učita na telefon. Mešanje sa slikom dovodi do toga da postupak autentifikacije ne uspe i da se odbije nova slika. |
|
Instalacija sertifikata za lokaciju klijenta |
Svaki Cisco IP telefon zahteva jedinstveni sertifikat za autentifikaciju uređaja. Telefon uključuje proizvodnju instaliranog sertifikata (MIC), ali za dodatnu bezbednost, možete da navedete instalaciju sertifikata u Cisco Unified Communications Manager Administration korišćenjem funkcije za proksi za sertifikaciju autoriteta (CAPF). Alternativno, možete instalirati Locally Significant Certificate (LSC) iz menija Bezbednost na telefonu. |
|
Autentifikacija uređaja |
Dešava se između Cisco Unified Communications Manager servera i telefona kada svaki entitet prihvati sertifikat drugog entiteta. Određuje da li bezbedna veza između telefona i Cisco Unified Communications Manager treba da se dogodi; i, ako je neophodno, kreira bezbedni put za signalizaciju između entiteta pomoću TLS protokola. Cisco Unified Communications Manager se ne registruje osim ako ne možete da obavite autentifikaciju. |
|
Autentifikacija datoteke |
Validira digitalno prijavljene datoteke koje telefon preuzima. Telefon validira potpis da bi osigurao da ne dolazi do mešanja za datoteku nakon kreiranja. Datoteke koje ne obave uspešnu autentifikaciju ne pišu se u fleš memoriju telefona. Telefon odbija takve datoteke bez dalje obrade. |
|
Šifrovanje datoteke |
Šifrovanje sprečava osetljive informacije od otkrivanja dok je datoteka u tranzitu na telefonu. Pored toga, telefon validira potpis da bi osigurao da se mešanje sa datotekom ne događa nakon kreiranja datoteke. Datoteke koje ne obave uspešnu autentifikaciju ne pišu se u fleš memoriju telefona. Telefon odbija takve datoteke bez dalje obrade. |
|
Autentifikacija signala |
Koristi TLS protokol za validaciju da nije došlo do mešanja u signalne pakete tokom prenosa. |
|
Proizvodnja instaliranog sertifikata |
Svaki Cisco IP telefon sadrži jedinstveni proizvodni instalirani sertifikat (MIC), koji se koristi za autentifikaciju uređaja. MIC obezbeđuje trajni jedinstveni dokaz identiteta za telefon i dozvoljava da Cisco Unified Communications Manager obavi autentifikaciju telefona. |
|
Šifrovanje medija |
Koristi SRTP da osigura da strimovanje medija između podržanih uređaja dokažu bezbednost i da samo namenjeni uređaj dobije i pročita podatke. Uključuje kreiranje medijskog primarnog para ključa za uređaje, dostavljanjem ključeva za uređaje i osiguravanje dostave ključeva dok su ključevi u transportu. |
|
CAPF (Funkcija sertifikata proksija autoriteta) |
Implementira delove procedure kreiranja sertifikata koje se previše intenzivno obrađuju za telefon i obavlja interakciju sa telefonom za generaciju ključa i instalaciju sertifikata. CAPF može da se podesi da zahteva sertifikate od drugih organa za sertifikate navedenih od strane korisnika ili se može podesiti za lokalno kreiranje sertifikata. Podržani su i EC (eliptična kriva) i RSA tipovi ključeva. Da biste koristili taster EC, proverite da li je omogućen parametar "Endpoint Advanced Encryption Algorithms Support" (iz Enterprise). Za više informacija o CAPF i srodnim konfiguracijama, pogledajte sledeće dokumente: |
|
Bezbednosni profil |
Definiše da li telefon nije bezbedan, potvrđen, šifrovan ili zaštićen. Drugi unosi u ovoj tabeli opisuju bezbednosne funkcije. |
|
Šifrovane konfiguracione datoteke |
Daju vam mogućnost da osigurate privatnost konfiguracionih datoteka telefona. |
|
Opcionalni veb server onemogućen za telefon |
Iz bezbednosnih razloga, možete da sprečite pristup na veb stranice za telefon (koji prikazuje različite operativne statistike za telefon) i Self Care Portal. |
|
Ojačavanje telefona |
Dodatne bezbednosne opcije, koje kontrolišete preko Cisco Unified Communications Manager Administration:
|
|
Osiguravanje SIP pokretanja u slučaju neispravnosti SRST |
Nakon što podesite održivu daljinsku telefoniju na lokaciji (SRST) kao referencu za bezbednost a zatim ponovo pokrenite zavisne uređaje u Cisco Unified Communications Manager Administration, TFTP server dodaje SRST sertifikate na cnf.xml datoteku telefona i šalje datoteku na telefon. Bezbedni telefon zatim koristi TLS konekciju za interakciju sa SRST omogućenim ruterom. |
|
Signalno šifrovanje |
Osigurava da su sve SIP signalne poruke koje se šalju između uređaja i Cisco Unified Communications Manager servera šifrovane. |
|
Alarm za ažuriranje liste poverenja |
Kada se lista poverenja ažurira na telefonu, Cisco Unified Communications Manager dobija alarm za indikaciju uspešnosti ili neuspešnosti ažuriranja. Pogledajte sledeću tabelu za više informacija za pomoć. |
|
AES 256 šifrovanje |
Kada se poveže na Cisco Unified Communications Manager verziju 10.5(2) i novije, telefoni podržavaju AES 256 podršku za šifrovanje za TLS i SIP za šifrovanje signala i medija. Ovo omogućava telefonima da pokrenu i podrže TLS 1.2 konekciju pomoću AES-256 zasnovanih šifara koje su u skladu sa SHA-2 (Bezbedan heš algoritam) standardima i u skladu su sa saveznim standardima za obradu informacija (FIPS). U šifre spadaju:
Za više informacija, pogledajte dokumentaciju za Cisco Unified Communications Manager. |
|
Sertifikati za eliptični digitalni potpis algoritma (ECDSA) |
Kao deo sertifikata za zajednički kriterijum (CC), Cisco Unified Communications Manager; dodati ECDSA sertifikati u verziji 11.0. Ovo utiče na sve proizvode za govorni operativni sistem (VOS) koji rade na CUCM 11.5 i novijim verzijama. |
|
Multi-server (SAN) Tomcat sertifikat sa Cisco UCM | Telefon podržava Cisco UCM sa konfigurisanim Tomcat sertifikatima sa više servera (SAN). Tačna TFTP adresa servera može se naći u ITL fajlu telefona za registraciju telefona. Za više informacija o ovoj funkciji, pogledajte sledeće: |
Sledeća tabela sadrži poruke alarma za ažuriranje liste poverenja i značenje. Za više informacija, pogledajte dokumentaciju za Cisco Unified Communications Manager.
| Kod i poruka | Opis |
|---|---|
|
1 - TL_SUCCESS |
Dobijen novi CTL i/ili ITL |
|
2 - CTL_INITIAL_SUCCESS |
Dobijen novi CTL, ne postoji TL |
|
3 - ITL_INITIAL_SUCCESS |
Dobijen novi ITL, ne postoji TL |
|
4 - TL_INITIAL_SUCCESS |
Dobijen novi CTL i ITL, ne postoji TL |
|
5 - TL_FAILED_OLD_CTL |
Ažuriranje na novi CTL nije uspelo, ali postoji prethodni TL |
|
6 - TL_FAILED_NO_TL |
Ažuriranje na novi TL nije uspelo i nema starog TL |
|
7 - TL_FAILED |
Generički neuspeh |
|
8 - TL_FAILED_OLD_ITL |
Ažuriranje na novi ITL nije uspelo, ali postoji prethodni TL |
|
9 - TL_FAILED_OLD_TL |
Ažuriranje na novi TL nije uspelo, ali postoji prethodni TL |
Bezbednost za telefonski poziv
Kada je bezbednost implementirana za telefon, možete da identifikujete bezbedne telefonske pozive preko ikona na ekranu telefona. Takođe možete da odredite da lije povezan telefon bezbedan i zaštićen ako se bezbednosni ton reprodukuje na početku poziva.
U bezbednom pozivu, sve signalizacije za poziv i tokovi medija su šifrovani. Bezbedan poziv nudi visok nivo bezbednosti, pružajući integritet i privatnost za poziv. Kada je poziv u toku šifrovan, možete videti sigurnu ikonu
Na liniji.
-
Ako je poziv preusmeren preko etapa poziva koji nisu IP etape, na primer, PSTN, poziv možda nije bezbedan čak iako je šifrovan u okviru IP mreže i ima ikonu za zaključavanje koja je povezana sa njim.
-
Bezbedno pozivanje podržano je za konekcije samo između dva telefona. Neke funkcije, kao što je konferencijsko pozivanje i zajedničke linije, nije dostupno kada se bezbedno pozivanje podesi.
U Cisco Unified Communications Manager, telefonima konfigurisanim kao bezbedni (šifrovani i pouzdani) može se dodeliti zaštićeni status. Jednom zaštićeni, ovi uređaji se mogu konfigurisati da igraju sigurnosni ton na početku svakog poziva.
-
Zaštićeni uređaj:
Da biste promenili status sigurnog telefona na zaštićen:
- U Cisco Unified Communications Manager Administration izaberite .
- Pronađite telefon koji ćete podestiti.
- U prozoru Konfiguracija telefona, izaberite polje za potvrdu Zaštićeni uređaj .
- Kliknite na dugme Sačuvaj.
-
Igrajte siguran indikacijski ton:
Da biste omogućili zaštićenom telefonu da reprodukuje siguran ili nesiguran ton indikacije:
- U Cisco Unified Communications Manager Administration, izaberite usluge.
- Izaberite server, a zatim uslugu Cisco CallManager .
- U Clustervide Parametri (Funkcija - Secure Tone) oblast, podesite Ton reprodukcije da ukaže na Secure / Non-Secure Call Status podešavanje na True.
- Kliknite na dugme Sačuvaj.
Sigurna identifikacija konferenцijskog poziva
Možete da pokrenete bezbedni konferencijski poziv i da nadgledate nivo učesnika. Bezbedan konferencijski poziv se uspostavlja korišćenjem ovog procesa:
-
Korisnik pokreće konferenciju preko bezbednog telefona.
-
Cisco Unified Communications Manager dodeljuje bezbedan konferencijski most na poziv.
-
Dok se učesnici dodaju, Cisco Unified Communications Manager potvrđuje režim bezbednosti za svaki telefon i održava bezbedan nivo za konferenciju.
-
Telefon prikazuje nivo bezbednosti za konferencijski poziv. Sigurna konferencija prikazuje sigurnu ikonu
.
Bezbedno pozivanje podržano je za konekcije između dva telefona. Za zaštićene telefone, neke funkcije, kao što je konferencijsko pozivanje, zajedničke linije i mobilnost lokala, nisu dostupne kada se podesi bezbedno pozivanje.
Sledeća tabela obezbeđuje informacije o promenama nivoa konferencijske bezbednosti na nivou bezbednosti za telefon koji pokreće poziv, nivoe bezbednosti učenika i dostupnost bezbednih konferencijskih mostova.
|
Bezbednosni nivo telefona koji pokreće poziv |
Korišćenja funkcija |
Nivo bezbednosti učesnika |
Rezultati akcije |
|---|---|---|---|
|
Nebezbedno |
Konferencija |
Bezbedno |
Nebezbedan konferencijski most Nebezbedna konferencija |
|
Bezbedno |
Konferencija |
Bar jedan član nije bezbedan. |
Bezbedan konferencijski most Nebezbedna konferencija |
|
Bezbedno |
Konferencija |
Bezbedno |
Bezbedan konferencijski most Bezbedan šifrovani nivo konferencije |
|
Nebezbedno |
Meet Me |
Minimalni nivo bezbednosti je šifrovano. |
Inicijator prima ton ponovnog naručivanja. |
|
Bezbedno |
Meet Me |
Minimalni nivo bezbednosti je nebezbedno. |
Bezbedan konferencijski most Konferencija prihvata sve pozive. |
Identifikacija poziva za bezbedan telefon
Bezbedan poziv je uspostavljen kada vaš telefon i telefon na drugoj strani bude podešen za bezbedno pozivanje. Drugi telefon može da bude isto u Cisco IP mreži ili na mreži van IP mreže. Bezbedni pozivi mogu da se obave samo između dva telefona. Konferencijski pozivi treba da podržavaju bezbedan poziv nakon što se bezbedni konferencijski most postavi.
Bezbedan poziv se uspostavlja korišćenjem ovog procesa:
-
Korisnik pokreće poziv preko bezbednog telefona (osiguran režim bezbednosti).
-
Telefon prikazuje sigurnu ikonu
Na ekranu telefona. Ova ikona označava da je telefon podešen za bezbedne pozive ali to ne znači da je drugi povezan telefon takođe osiguran. -
Korisnik čuje bezbednosni ton ako se poziv poveže na drugi bezbedan telefon, što označava da su oba kraja konverzacije šifrovana i osigurana. Ako se poziv poveže na nebezbedan telefon, korisnik ne čuje bezbednosni ton.
Bezbedno pozivanje podržano je za konekcije između dva telefona. Za zaštićene telefone, neke funkcije, kao što je konferencijsko pozivanje, zajedničke linije i mobilnost lokala, nisu dostupne kada se podesi bezbedno pozivanje.
Samo zaštićeni telefoni reprodukuju tonove za indikaciju bezbednog i nebezbednog. Nezaštićeni telefoni nikad ne reprodukuju tonove. Ako se ukupni status poziva promeni tokom poziva, ton za indikaciju se menja i zaštićeni telefon reprodukkuje odgovarajući ton.
Kada je Ton reprodukcije da ukaže na Secure / Non-Secure Call Status opcija je postavljena na True:
-
Kada je kompletna bezbednost medija uspostavljena i status poziva je obezbeđen, telefon reprodukuje ton za indikaciju bezbednosti (tri duga bipa sa pauzama).
-
Kada je kompletna nebezbednost medija uspostavljena i status poziva nije obezbeđen, telefon reprodukuje ton za indikaciju nebezbednosti (šest kratkih bipova sa kratkim pauzama).
Ako je opcija Ton reprodukcije za označavanje sigurnog / nesigurnog statusa poziva podešena na False, ne svira se ton.
Obezbedite enkripciju za baržu
Cisco Unified Communications Manager proverava bezbednosni status telefona kada se uspostavljaju konferencije i menja bezbednosnu indikaciju za konferenciju ili blokira završetak poziva radi održavanja integriteta i bezbednosti u sistemu.
Korisnik ne može da upadne u šifrovani poziv ako telefon koji se koristi za baržu nije konfigurisan za šifrovanje. Kada barža ne uspe u ovom slučaju, reorder (brzo zauzet) ton igra na telefonu da je barža pokrenuta.
Ako je telefon inicijatora konfigurisan za šifrovanje, pokretač barža može da upadne u nesiguran poziv sa šifrovanog telefona. Nakon što dođe do barže, Cisco Unified Communications Manager klasifikuje poziv kao nesiguran.
Ako je telefon inicijatora konfigurisan za šifrovanje, inicjator barža može da upadne u šifrovani poziv, a telefon pokazuje da je poziv šifrovan.
Bežični LAN bezbednost
Pošto svi WLAN uređaji koji su u okviru opsega mogu da primaju drugi WLAN saobraćaj, osiguravanje glasovne komunikacije je od presudnog značaja za WLAN-ove. Da bi se osiguralo da uljezi ne manipulišu niti presreću glasovni saobraćaj, Cisco SAFE Securiti arhitektura podržava telefon. Za više informacija o bezbednosti u mrežama, pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Cisco Bežični IP telefonsko rešenje obezbeđuje bezbednost bežične mreže koja sprečava neovlašćene prijave i kompromitovane komunikacije korišćenjem sledećih metoda autentifikacije koje telefon podržava.
-
Otvorena autentifikacija: Bilo koji bežični uređaj može da zahteva autentifikaciju u otvorenom sistemu. AP koji dobija zahtev može da odobri autentifikaciju za bilo kog podnosioca zahteva ili samo za podnosioce zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može biti nešifrovana.
-
Proširivi protokol za autentifikaciju - fleksibilna autentifikacija putem sigurnog tuneliranja (EAP-FAST) Autentifikacija: Ova bezbednosna arhitektura klijent-server šifrira EAP transakcije unutar tunela bezbednosti na nivou transporta (TLS) između AP i RADIUS servera, kao što je Identiti Services Engine (ISE).
TLS tunel koristi akreditive za zaštićeni pristup (PAC-ovi) za autentifikaciju između klijenta (telefon) i RADIUS servera. Server šalje ID autoriteta (AID) za klijenta (telefon) koji zauzvrat bira odgovarajući PAC. Klijent (telefon) donosi PAC-Opaque na RADIUS server. Server dešifruje PAC uz primarni ključ. Obe krajnje tačke sada sadrže PAC ključ i kreira se TLS tunel. EAP-FAST podrža automatsko obezbeđivanje PAC, ali to morate da omogućite na RADIUS server.
U ISE, po defaultu, PAC ističe za nedelju dana. Ako telefon ima istekli PAC, autentifikacija preko RADIUS servera traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja za dobijanje PAC, podesite period za istek PAC-a na 90 dana ili duže na ISE ili RADIUS serveru.
-
Protokol za autentifikaciju lokala-Autentifikacija transportnog sloja bezbednosti (EAP-TLS): EAP-TLS zahteva sertifikat klijenta za autentifikaciju i mrežni pristup. Za bežičnu EAP-TLS, sertifikat klijenta može biti MIC, LSC, ili sertifikat instaliran od strane korisnika.
-
Zaštićeni protokol autntifikacije lokala (PEAP): Cisco šema za zajedničku autentifikaciju zasnovana na lozinci između klijenta (telefon) i RADIUS servera. Telefon može da koristi PEAP za autentifikaciju sa bežičnom mrežom. Oba metoda autentifikacije, PEAP-MSCHAPV2 i PEAP-GTC, su podržani.
-
Pre-Shared Kei (PSK): Telefon podržava ASCII i heksadecimalni (HEKS) formati. Morate koristiti ove formate kada podesite VPA2/SAE unapred deljen ključ.
ASCII: ASCII-karakterni niz sa 8 do 63 karaktera dužine (0-9, mala slova a-z, velika slova AZ i specijalni znakovi). Na primer,
GREG123567@9ZX & V.HEKS: HEKS-karakter niz sa 64 heksadecimalnih cifara dužine (0-9, af ili AF).
Sledeće šeme za autentifikaciju koriste RADIUS server za upravljanje autentifikacionim ključevima:
-
WPA2/WPA3: Koristi informacije RADIUS servera za kreiranje jedinstvenih tastera za autentifikaciju. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA unapred podeljenih ključeva koji su sačuvani na AP i telefonu.
-
Brzi bezbedni roming: Koristi informacije za RADIUS server i server bežičnog domena (WDS) za upravljanje i autentifikaciji ključeva. VDS stvara keš bezbednosnih akreditiva za klijentske uređaje sa omogućenim FT-om za brzu i sigurnu ponovnu autentifikaciju.
Sa VPA2 / VPA3, ključevi za šifrovanje se ne unose na telefonu, već se automatski izvode između AP-a i telefona. Ali EAP korisničko ime i lozinka koji se koriste za autentifikaciju moraju da se unesu na svaki telefon.
Da bi se zaštitio glasovni saobraćaj preko bežične veze, telefon podržava šifrovanje zasnovano na AES-u za VPA2 / VPA3 autentifikaciju. AES je simetrična blok šifra standardizovana od strane NIST-a. AES koristi fiksnu 128-bitnu veličinu bloka i podržava veličine ključeva od 128 bita, 192 bita i 256 bita. U Wi-Fi mrežama, AES koriste paketi za šifrovanje kao što su CCMP ili GCMP, dok je autentifikacija obezbeđena odvojeno od strane PSK, SAE ili 802.1X/EAP, u zavisnosti od konfigurisanog WLAN bezbednosnog režima. Podržani paket šifri i veličina ključa zavise od modela telefona i konfiguracije WLAN.
Kada telefon koristi AES enkripciju, i signalni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP-a i telefona.
Šeme za autentifikaciju i šifrovanje podešavaju se u okviru bežičnog LAN. VLAN-ovi se podešavaju na mreži i na AP-ovima i navode različite kombinacije za autentifikaciju i šifrovanje. SSID se pridružuje sa VLAN i određenoj autentifikaciji i šemi šifrovanja. Da bi se bežični klijentski uređaji uspešno autentifikovali, morate konfigurisati iste SSID-ove sa njihovim šemama za autentifikaciju i šifrovanje na AP-ovima i na telefonu.
Iste šeme za autentifikaciju zahtevaju specifične tipove šifrovanja.
Kada koristite VPAKSNUMKS unapred deljen ključ ili SAE, unapred deljeni ključ mora biti statički podešen na telefonu. Ovi ključevi moraju da odgovaraju ključevima koji su na AP.
Šeme autentifikacije i šifrovanja u sledećoj tabeli prikazuju opcije konfiguracije mreže za Cisco bežični telefon 9821 koji odgovara AP konfiguraciji.
| FSR Tip | Autentifikacija | Menadžment ključeva | Enkripcija | Zaštićeni okvir upravljanja (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK VPA-PSK-SHA256 FT-PSK | AES | Ne |
| 802.11r (FT) | VPA3 |
SAE FT-SAE | AES | Da |
| 802.11r (FT) | EAP-TLS |
VPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-TLS (WPA3) |
VPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-FAST |
VPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-FAST (WPA3) |
VPA-EAP-SHA256 FT-EAP | AES | Da |
| 802.11r (FT) | EAP-PEAP |
VPA-EAP FT-EAP | AES | Ne |
| 802.11r (FT) | EAP-PEAP (VPA3) |
VPA-EAP-SHA256 FT-EAP | AES | Da |
| ne-FT | Apartman-B | WPA-EAP-SUITE-B | Bilten | Da |
| ne-FT | Apartman-B-192 | WPA-EAP-SUITE-B-192 | Bilten | Da |
Podesite Wi-Fi profil
Možete konfigurisati Wi-Fi profil i dodeliti ga Cisco Vireless Phone 9821. Ovaj profil sadrži neophodne parametre za telefon da uspostavi Wi-Fi vezu i potom se registruje sa Cisco Unified CM. Kada kreirate i koristite Wi-Fi profil, vi ili vaši korisnici ne morate da konfigurišete bežičnu mrežu za pojedinačne telefone.
Preporučujemo da koristite siguran profil sa omogućenom TFTP enkripcijom da biste zaštitili ključeve i lozinke kada koristite Wi-Fi profil.
Telefoni podržavaju jedan sertifikat servera po metodu instalacije (ručno, SCEP ili TFTP).
Imajte na umu sledeće napomene pre nego što konfigurišete WLAN profil:
-
Korisničko ime i lozinka
-
Kada vaša mreža koristi EAP-FAST i PEAP za autentifikaciju korisnika, morate da konfigurišete i korisničko ime i lozinku ako je potrebno na korisničkom servisu za daljinsku autentifikaciju (RADIUS) i na telefonu.
- Akreditivi koje unosite u profil bežične LAN mreže moraju biti identični sa akreditivima koje ste konfigurisali na RADIUS serveru.
-
Ako koristite domene u okviru svoje mreže, morate uneti korisničko ime sa imenom domena, u formatu:
domen\korisničko ime.
-
-
Sledeće radnje mogu dovesti do brisanja postojeće Wi-Fi lozinke:
- Unošenje pogrešnog korisničkog id ili lozinke
- Instalacija pogrešnog ili isteklog korenskog CA kada se EAP tip podesi na PEAP-MSCHAPV2 ili PEAP-GTC
- Onemogućavanje tokom upotrebe za EAP tip na RADIUS serveru pre promene telefona na novi EAP tip
- Da biste promenili EAP tip, osigurajte da ste prvo omogućili novi EAP tip na RADIUS serveru, a zatim promenite telefon na EAP tip. Kada se svi telefoni promene na novi EAP tip, možete da omogućite prethodni EAP tip ako želite.
| 1 |
Iz Cisco Unified Communications Manager Administration, izaberite opciju . |
| 2 |
Kliknite na Dodaj novi. |
| 3 |
U odeljku Informacije o profilu bežične LAN mreže podesite parametre:
|
| 4 |
U odeljku Bežična podešavanja podesite parametre:
|
| 5 |
U odeljku Podešavanja autentifikacije podesite metod autentifikacije na jedan od sledećih metoda autentifikacije: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK i None. Cisco Bežični telefon 9821 ne podržava WEP. Nakon što podesite ovo polje, možda ćete videti dodatna polja koja treba da podesite.
Cisco Bežični telefon 9821 ne podržava polje Profil pristupa mreži. |
| 6 |
Kliknite na dugme Sačuvaj. |
Šta uraditi sledeće
Povežite profil bežičnog LAN sa WLAN grupom profila, a zatim primenite WLAN grupu profila na grupu uređaja (Sistem>Device PoolPhone
Instalirajte korisnički sertifikat sa veb stranice administracije telefona
Možete ručno instalirati korisnički sertifikat na telefon ako Simple Certificate Enrollment Protocol (SCEP) nije dostupan.
Unapred instalirani sertifikat za proizvodnju (MIC) može se koristiti kao korisnički sertifikat za EAP-TLS.
Nakon instalacije korisničkog sertifikata, potrebno je da dodate lanac dopunskog dostava koji je izdao korisnički sertifikat na listu poverenja RADIUS servera.
Pre nego što počnete
Pre nego što možete da instalirate sertifikat korisnika za telefon, morate da imate:
-
Sertifikat korisnika sačubvan na vašem računaru. Sertifikat mora da bude u formatu PKCS #12.
-
Lozinka ekstrakta sertifikata. Dužina lozinke ne sme biti veća od 32 znaka.
| 1 |
Na administracionoj veb stranici telefona, izaberite opciju Sertifikati. |
| 2 |
Locirajte polje Instalirano od strane korisnika i kliknite na Instalacija. |
| 3 |
Dođite do sertifikata na računaru. |
| 4 |
U polju Ekstrakcija lozinke unesite lozinku za ekstrakciju sertifikata. |
| 5 |
Kliknite da biste otpremili. |
| 6 |
Ponovo pokrenite telefon nakon što se otpremanje završi. |
Instalirajte CA servera za autentifikaciju sa veb stranice administracije telefona
Možete ručno instalirati Authentication Server CA na telefon ako Simple Certificate Enrollment Protocol (SCEP) nije dostupan.
Mora da se instalira sertifikat korenskog CA koji je izdao sertifikat RADIUS servera.
Pre nego što počnete
Pre nego što instalirate sertifikat na telefonu, morate imati Authentication Server CA sačuvan na računaru. Sertifikat mora da bude kodiran u PEM (Base-64) ili DER.
| 1 |
Na administracionoj veb stranici telefona, izaberite opciju Sertifikati. |
| 2 |
Locirajte polje Autentifikacioni server CA i kliknite na Instalacija. |
| 3 |
Dođite do sertifikata na računaru. |
| 4 |
Kliknite da biste otpremili. |
| 5 |
Ponovo pokrenite telefon nakon što se otpremanje završi. |
Ručno uklonite bezbednosni sertifikat sa veb stranice administracije telefona
Možete ručno da uklonite sertifikat za bezbednost sa telefona ako jednostavan protokol za registraciju sertifikata (SCEP) nije dostupan.
| 1 |
Na administracionoj veb stranici telefona, izaberite opciju Sertifikati. |
| 2 |
Pronađite sertifikat na stranici Sertifikati. |
| 3 |
Kliknite na dugme Obriši. |
| 4 |
Ponovo pokrenite telefon nakon obavljanja postupka brisanja. |
Podesite SCEP
SCEP (Simple Certificate Enrollment Protocol) je standard za automatsko obezbeđivanje i obnavljanje certifikata. Izbegava ručnu instalaciju sertifikata na vašim telefonima.
Aktivirajte parametre konfiguracije specifične za SCEP proizvod
Morate konfigurisati sledeće SCEP parametre na Cisco Unified Communications Manager (Unified CM).
-
RA IP adresa ili ime domaćina
-
SHA-1 ili SHA-256 otisak prsta korenskog CA sertifikata za SCEP server
Cisco IOS registracioni organ (RA) služi kao proksi za SCEP server. SCEP klijent na telefonu koristi parametre koji su preuzeti sa Cisco Unified CM. Nakon što podesite parametre, telefon šalje SCEP getcs zahtev na RA i koren CA sertifikat se potvrđuje pomoću definisanog otiska prsta.
| 1 |
Od Cisco Unified Communications Manager Administration, izaberite . |
| 2 |
Lociranje telefona. |
| 3 |
Listajte do oblasti Raspored konfiguracije specifičnog proizvoda. |
| 4 |
Izaberite WLAN SCEP Server polje za potvrdu da biste aktivirali SCEP parametar. |
| 5 |
Izaberite WLAN Root CA Fingerprint (SHA256 ili SHA1) polje za potvrdu da biste aktivirali SCEP QED parametar. |
Podrška SCEP servera
Ako koristite Simple Certificate Enrollment Protocol (SCEP) server, server može automatski održavati vaše korisničke i serverske sertifikate. Na SCEP serveru, podesite SCEP registracionog agenta (RA) na:
-
Deluje kao PKI tačka poverenja
-
Deluje kao PKI RA
-
Obavite autentifikaciju uređaja korišćenjem RADIUS servera
Za više informacija, pogledajte dokumentaciju SCEP servera.
Podešavanje lokalno značajnog sertifikata (LSC)
Postoji nekoliko metoda za instaliranje LSC. Ovaj uzorak zadatka se odnosi na postavljanje LSC sa metodom autentifikacije string na Cisco Vireless Phone 9821.
Pre nego što počnete
Uverite se da su odgovarajuće Cisco Unified CM i certificate authority proxy function (CAPF) bezbednosne konfiguracije završene.
-
CTL ili ITL datoteka imaju CAPF sertifikat.
-
Iz Cisco Unified Communications Operating System Administration, potvrdite da li je CAPF sertifikat instaliran.
-
CAPF je podešen i radi.
Za više informacija o ovim podešavanjima, pogledajte dokumentaciju za vaše određeno izdanje Cisco Unified CM.
| 1 |
Nabavite CAPF autentifikaciju string koji je postavljen kada je CAPF konfigurisan. |
| 2 |
Na telefonu pristupite podešavanjima |
| 3 |
Izaberite . |
| 4 |
Unesite string za autentifikaciju. |
| 5 |
Pritisnite više Telefon počinje da instalira ažuriranje, ili da uklanja LSC, u zavisnosti od konfiguracije CAPF. Kada se procedura kompletira, na telefonu se prikazuje Instalirano ili Nije instalirano. Instalacija LSC, ažuriranje ili postupak uklanjanja mogu da potraju dugo dok se ne kompletiraju. Kada je procedura instalacije telefona uspešna, pojavljuje se poruka |
802.1Ks Provera identiteta za žičane mreže
Cisco Bežični telefon 9821 podržava 802.1Ks autentifikaciju za žičane mreže. Ovo se obično koristi tokom automatskog obezbeđivanja kada je telefon povezan sa punjačem na radnoj površini preko podržanog USB-to-Ethernet adaptera.
Podrška za 802.1Ks autentifikaciju na žičanim mrežama zahteva nekoliko komponenti na sledeći način:
-
Cisco IP telefon: Telefon pokreće zahtev za pristup na mrežu. Cisco IP telefoni sadrže 802.1X dodatak. Ovaj dodatak omogućava administratoru mreže da kontroliše konektivnost IP telefona na LAN portove sviča. Trenutno izdanje za dodatak za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za autentifikaciju mreže.
-
Server za autentifikaciju: Server za autentifikaciju i prekidač moraju biti konfigurisani sa RADIUS zajedničkom tajnom.
-
Prekidač: Prekidač mora da podržava 802.1Ks, tako da može da deluje kao autentifikator i prenosi EAP poruke između telefona i servera za autentifikaciju. Nakon završetka razmene, svič odobrava ili odbija pristup telefona na mrežu.
Cisco IP telefoni i Cisco Catalyst svičevi tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što je VLAN alokacija i zahtevi za dovodno napajanje.
Morate da obavite sledeće postupke da biste podesili 802.1X.
-
Konfigurišite CDP/LLDP glas VLAN bajpas.
-
Konfigurišite server za autentifikaciju i prekidač pre nego što omogućite 802.1Ks autentifikaciju za žičane mreže na telefonu.
-
Podešavanje govornog VLAN: Pošto se 802.1X standard ne računa za VLAN-ove, potrebno je da podesite ovu postavku na osnovu podrške za svič.
- Omogućeno: Ako koristite prekidač koji podržava autentifikaciju više domena, možete ga konfigurisati da koristi glas VLAN.
- Onemogućeno: Ako svič ne podržava autentifikaciju za više uređaja, onemogućite govorni VLAN i razmislite da dodelite port na prirodni VLAN.
-
Cisco Bežični telefon 9821 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste omogućili vašem telefonu da prođe 802.1Ks autentifikaciju, podesite Radijus· User-Name parametar za uključivanje vašeg Cisco bežičnog telefona 9821.
Na primer, PID Cisco bežičnog telefona 9821 je VP-9821. Možete podesiti Radijus · Korisničko ime za
početak sa VPilisadrži VPu oba sledeća odeljka: -
Omogućite 802.1Ks autentifikaciju za žičane mreže na telefonu
Pratite ove korake da biste omogućili 802.1Ks autentifikaciju za žičane mreže na vašem telefonu. Imajte na umu da je 802.1X autentifikacija za Wi-Fi podrazumevano omogućena i ne zahteva ručnu konfiguraciju.
| 1 |
Pristupite podešavanjima |
| 2 |
Ako se to od vas zatraži, unesite lozinku za pristup meniju Settings . Lozinku možete dobiti od administratora. |
| 3 |
Izaberite . |
| 4 |
Označite proveru identiteta uređaja i pritisnite On. |
Omogućite 802.1Ks autentifikaciju za žičane mreže u Cisco Unified Communications Manager Administration
Pratite ove korake da biste omogućili 802.1Ks autentifikaciju za žičane mreže na Cisco Unified CM. Imajte na umu da je 802.1Ks autentifikacija za Wi-Fi podrazumevano omogućena i ne zahteva ručnu konfiguraciju.
Možete da vidite status transakcije i bezbednosna podešavanja na meniju ekrana telefona. Za više informacija, pogledajte meni bezbednosnih podešavanja na telefonu.
| 1 |
U Cisco Unified Communications Manager Administration, izaberite Device > Phone. |
| 2 |
Pronađite telefon koji ćete podestiti. |
| 3 |
Idite na područje rasporeda konfiguracije specifične za proizvod. |
| 4 |
Izaberite Omogućeno iz padajućeg menija 802.1k Autentifikacija . Kada se konfiguriše na Omogućeno ili Isključeno, opcija za autentifikaciju uređaja na Cisco Vireless Phone 9821 postaje samo za čitanje, sprečavajući korisnike da menjaju 802.1Ks podešavanja autentifikacije. |
| 5 |
Izaberite Sačuvaj. |
| 6 |
Izaberite Primeni konfiguraciju. |
Meni bezbednosnih podešavanja na telefonu
Da biste videli informacije o bezbednosnim podešavanjima iz menija telefona, pristupite Settings
aplikaciju i izaberite . Dostupnost informacija zavisi od mrežnih postavki u vašoj organizaciji.
|
Parametri |
Opcije |
Podrazumevano |
Opis |
|---|---|---|---|
|
Autentifikacija uređaja |
Uključeno Off |
Off |
Omogućava ili onemogućava 802.1Ks autentifikaciju na telefonu. Podešavanje parametara može se zadržati nakon registracije telefona Out-Of-Bok (OOB). |
|
Status transakcije | Onemogućeno |
Prikazuje stanje 802.1Ks autentifikacije. Država može biti (ne ograničavajući se na):
| |
|
Protokol | Nijedno |
Prikazuje metod EAP koji se koristi za 802.1Ks autentifikaciju. Protokol može biti EAP-FAST ili EAP-TLS. |
Podesite podržane verzije TLS
Možete podesiti minimalnu verziju TLS koja je potrebna za klijenta i server, respektivno.
Po defaultu, minimalna TLS verzija servera i klijenta je i 1.2. Postavka utiče na sledeće funkcije:
- HTTPS veb pristupna veza
- Uključivanje za lokalni telefon
- HTTPS usluge, kao što su usluge direktorijuma
- Datagram Transport Laier Securiti (DTLS)
- Entitet za pristup lukama (PAE)
- Proširivi protokol autentifikacije-bezbednost transportnog sloja (EAP-TLS)
Za više informacija o kompatibilnosti TLS 1.3 za Cisco IP Phones, pogledajte TLS 1.3 Matrica kompatibilnosti za Cisco Proizvodi za saradnju.
| 1 |
U Cisco Unified Communications Manager Administration, uradite jednu od sledećih radnji po potrebi:
Konfiguracija prati hijerarhijsku strukturu:
|
| 2 |
Podesite polje TLS Client Min Version : Opcija TLS 1.3 je dostupna na Cisco Unified CM 15SU2, ili kasnije.
|
| 3 |
Podesite polje TLS Server Min Version :
|
| 4 |
Kliknite na dugme Sačuvaj. |
| 5 |
Kliknite na dugme Primeni konfiguraciju. |
| 6 |
Ponovo pokrenite telefone. |
TURN isključen spikerfon i slušalice na Cisco Bežični telefon 9821
Imate opcije da trajno TURN isključite spikerfon i slušalice na Cisco bežičnom telefonu 9821 za vašeg korisnika. Isključivanje ovih audio izlaza osigurava da razgovore ne čuju drugi u blizini, što je važno u zajedničkim ili otvorenim kancelarijskim okruženjima.
| 1 |
U Cisco Unified Communications Manager Administration izaberite . |
| 2 |
Pronađite telefon koji ćete podestiti. |
| 3 |
Idite na područje rasporeda konfiguracije specifične za proizvod. |
| 4 |
Označite jedno ili više sledećih polja za potvrdu da biste TURN isključili mogućnosti telefona:
Po defaultu, ova polja za potvrdu su neoznačena. |
| 5 |
Izaberite Sačuvaj. |
| 6 |
Izaberite Primeni konfiguraciju. |
