- Start
- /
- Artikel
Säkerhet för Cisco IP-telefon
Den här hjälpartikeln gäller Cisco Desk Phone 9800-serien och Cisco Video Phone 8875 som är registrerad för Cisco BroadWorks.
Installera anpassat enhetscertifikat manuellt
Du kan installera ett anpassat enhetscertifikat (CDC) manuellt på telefonen genom att överföra certifikatet från telefonens administrationswebbsida.
Innan du börjar
Innan du kan installera ett anpassat enhetscertifikat för en telefon måste du ha:
- En certifikatfil (.p12 eller .pfx) sparad på datorn. Filen innehåller certifikatet och den privata nyckeln.
- Certifikatets extraheringslösenord. Lösenordet används för att dekryptera certifikatfilen.
1 |
Öppna webbsidan för telefonadministration. |
2 |
Välj Certifikat. |
3 |
I avsnittet Lägg till certifikat klickar du på Bläddra .... |
4 |
Bläddra till certifikatet på datorn. |
5 |
I fältet Extrahera lösenord anger du lösenordet för certifikatextraktet. |
6 |
Klicka på Överför. Om certifikatfilen och lösenordet är korrekta får du meddelandet ”Certifikat har lagts till.”. I annat fall misslyckas överföringen med ett felmeddelande som anger att certifikatet inte kan laddas upp.
|
7 |
För att kontrollera informationen om det installerade certifikatet klickar du på Visa i avsnittet Befintliga certifikat. |
8 |
Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat. När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.
Om certifikatet har tagits bort får du meddelandet ”Certifikatet har tagits bort.”. |
Installera anpassat enhetscertifikat automatiskt via SCEP
Du kan ställa in parametrarna för SCEP (Simple Certificate Enrollment Protocol) för att automatiskt installera CDC (Custom Device Certificate) om du inte vill överföra certifikatfilen manuellt eller om du inte har certifikatfilen på plats.
När SCEP-parametrarna är korrekt konfigurerade skickar telefonen förfrågningar till SCEP-servern och CA-certifikatet valideras av enheten med det definierade fingeravtrycket.
Innan du börjar
Innan du kan utföra en automatisk installation av ett anpassat enhetscertifikat för en telefon måste du ha:
- SCEP-serveradress
- SHA-1- eller SHA-256-fingeravtryck för rot-CA-certifikatet för SCEP-servern
1 |
Öppna webbsidan för telefonadministration. |
2 |
Välj Certifikat. |
3 |
I avsnittet SCEP-konfiguration 1 ställer du in parametrarna enligt beskrivningen i följande tabell Parametrar för SCEP-konfiguration. |
4 |
Klicka på Skicka in alla ändringar. |
Parametrar för SCEP-konfiguration
Följande tabell definierar hur parametrarna för SCEP-konfiguration i avsnittet SCEP-konfiguration 1 på fliken Certifikat i telefonens webbgränssnitt fungerar och används. Den definierar även syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.
Parametrar | Beskrivning |
---|---|
Server |
SCEP-serveradress. Den här parametern är obligatorisk. Gör något av följande:
Giltiga värden: En URL eller IP-adress. HTTPS-schemat stöds inte. Standard Tom |
Rot-CA-fingeravtryck |
SHA256- eller SHA1-fingeravtryck för rot-CA för validering under SCEP-processen. Den här parametern är obligatorisk. Gör något av följande:
Standard Tom |
Ändra lösenord |
Utmaningslösenordet för auktorisering av certifikatutfärdare (CA) mot telefonen under en certifikatregistrering via SCEP. Denna parameter är valfri. Beroende på den faktiska SCEP-miljön varierar beteendet för utmaningslösenordet.
Gör något av följande:
Standard Tom |
Konfiguration av SCEP-parametrar via DHCP-alternativ 43
Förutom att registrera SCEP-certifikatet genom de manuella konfigurationerna på telefonens webbsida kan du även använda DHCP-alternativ 43 för att fylla i parametrarna från en DHCP-server. DHCP-alternativ 43 är förkonfigurerat med SCEP-parametrarna. Senare kan telefonen hämta parametrarna från DHCP-servern för att utföra SCEP-certifikatregistreringen.
- SCEP-parameterkonfigurationen via DHCP-alternativ 43 är endast tillgänglig för telefonen där en fabriksåterställning utförs.
- Telefoner får inte placeras i nätverket som har stöd för både alternativ 43 och fjärretablering (till exempel alternativ 66,160,159,150 eller molnetablering). Annars kanske telefoner inte får Alternativ 43-konfigurationer.
Om du vill registrera ett SCEP-certifikat genom att konfigurera SCEP-parametrarna i DHCP-alternativ 43 gör du följande:
- Förbered en SCEP-miljö.
Mer information om hur du konfigurerar SCEP-miljön finns i dokumentationen till din SCEP-server.
- Konfigurera DHCP-alternativ 43 (definierat i 8.4 Leverantörsspecifik information, RFC 2132).
Underalternativ (10–15) är reserverade för metoden:
Parameter på telefonens webbsida Underalternativ Typ Längd (byte) Obligatorisk FIPS-läge 10 Boolesk 1 Nej* Server 11 Sträng 208 – Längd (Utmana lösenord) Ja Rot-CA-fingeravtryck 12 binär 20 eller 32 Ja Ändra lösenord 13 Sträng 208 – längd (server) Nej* Aktivera 802.1X-autentisering 14 Boolesk 1 Nej Välj certifikat 15 ej signerad 8-bitars 1 Nej När du använder DHCP-alternativ 43 ska du observera följande egenskaper för metoden:
- Underalternativ (10–15) är reserverade för Custom Device Certificate (CDC).
- Maxlängden för DHCP-alternativ 43 är 255 byte.
- Maxlängden för Server + Utmaningslösenord får vara mindre än 208 byte.
- Värdet för FIPS-läge ska överensstämma med registreringsetableringskonfigurationen. Annars kan telefonen inte hämta det tidigare installerade certifikatet efter registrering. Närmare bestämt
- Om telefonen kommer att registreras i en miljö där FIPS-läget är inaktiverat behöver du inte konfigurera parametern FIPS-läge i DHCP-alternativ 43. FIPS-läget är inaktiverat som standard.
- Om telefonen kommer att registreras i en miljö där FIPS-läget är aktiverat måste du aktivera FIPS-läget i DHCP-alternativ 43. Se Aktivera FIPS-läge för mer information.
- Lösenordet i alternativ 43 är i klartext.
Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för den första registreringen och certifikatförnyelsen. Om utmaningslösenordet har konfigurerats används det endast för den första registreringen och det installerade certifikatet används för certifikatförnyelse.
- Aktivera 802.1X-autentisering och Välj certifikat används endast för telefoner i trådbundet nätverk.
- DHCP-alternativ 60 (leverantörsklassidentifierare) används för att identifiera enhetsmodellen.
Följande tabell ger ett exempel på DHCP-alternativ 43 (underalternativen 10–15):
Suboption decimal/hexadecimal Värdelängd (byte) decimal/hexadecimal Värde Hexadecimalt värde 10/0a 01/01-01 1 (0: Inaktiverat; 1: Aktiverad) 01 11/0b-serien 2018/18 http://10.79.57.91 687474703a2f2f31302e37392e35⦅_ph_25⦆ e3931 12/0c 20/14 12040870625c5b755d73f5925285 f8f5ff5d55af 12040870625c5b755d73f5925285 f8f5ff5d55af 13/0d 16/10 CCF9B9952A15 44323333434346394239393532413135 14/0e 01/01-01 1 (0: Nej; 1: Ja* 01 15/0f 01/01-01 1 (0: Tillverkning installerad; 1: Anpassad installerad) 01 Sammanfattning av parametervärdena:
-
FIPS-läge = Aktiverat
-
Server =
http://10.79.57.91
-
Rot-CA-fingeravtryck =
12040870625C5B755D73F5925285 F8F5FF5D55AF
-
Utmaningslösenord = D176CCF9B9952A15
-
Aktivera 802.1X-autentisering = Ja
-
Certifikatval = Anpassat installerat
Syntaxen för det slutliga hexadecimala värdet är:
{<suboption><length><value>} ...
Enligt parametervärdena ovan är det slutliga hexadecimala värdet följande:
0a01010b12687474703a2f2f31302e37392e35176e39310c1412040870625C5B755D73F5925285 F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Konfigurera DHCP-alternativ 43 på en DHCP-server.Det här steget ger ett exempel på konfigurationer av DHCP-alternativ 43 i Ciscos nätverksregister.
- Lägg till definitionsuppsättning för DHCP-alternativ.
Leverantörsalternativsträng är modellnamnet på IP-telefonerna. Det giltiga värdet är: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.
- Lägg till DHCP-alternativ 43 och underalternativ i definitionsuppsättningen för DHCP-alternativ.
Exempel:
- Lägg till alternativ 43 i DHCP-policyn och ställ in värdet enligt följande:
Exempel:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285 F8F5FF5D55AF)(13 D176CCF9B9952A15)(14 1)(15 1)
- Kontrollera inställningarna Du kan använda Wireshark för att spåra nätverkstrafiken mellan telefonen och tjänsten.
- Lägg till definitionsuppsättning för DHCP-alternativ.
- Utför en fabriksåterställning för telefonen.
När telefonen har återställts fylls parametrarna Server, Rot-CA-fingeravtryck och Utmaningslösenord i automatiskt. Dessa parametrar finns i avsnittet SCEP-konfiguration 1 från på webbsidan för telefonadministration.
För att kontrollera informationen om det installerade certifikatet klickar du på Visa i avsnittet Befintliga certifikat.
För att kontrollera certifikatets installationsstatus väljer du
. Hämtningsstatus 1 visar det senaste resultatet. Om det uppstår problem under certifikatregistreringen kan hämtningsstatusen visa problemorsaken för felsökning.Om lösenordsautentiseringen misslyckas kommer användarna att uppmanas att ange lösenordet på telefonskärmen. - (Valfritt): Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat.När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.
Certifikatförnyelse via SCEP
Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.
- Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var fjärde timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
- Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både inledande registrering och certifikatförnyelse. Om utmaningslösenordet har konfigurerats används det endast för inledande registrering, och det befintliga/installerade certifikatet används för certifikatförnyelse.
- Telefonen tar inte bort det gamla enhetscertifikatet förrän den har hämtat det nya.
- Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller CA upphör, utlöser telefonen den inledande registreringen automatiskt. Under tiden, om autentiseringen av utmaningslösenord misslyckas, visas en lösenordsinmatningsskärm på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.
Aktivera FIPS-läge
Du kan göra telefonen kompatibel med FIPS (Federal Information Processing Standards).
FIPS är en uppsättning standarder som beskriver dokumentbearbetning, krypteringsalgoritmer och andra IT-standarder för användning inom icke-militär regering och av statliga entreprenörer och leverantörer som arbetar med myndigheterna. CiscoSSL FOM (FIPS-objektmodul) är en noggrant definierad programvarukomponent som är utformad för kompatibilitet med CiscoSSL-biblioteket, så att produkter som använder CiscoSSL-biblioteket och API kan konverteras till att använda validerad FIPS 140-2-kryptering med minimal ansträngning.
1 |
Öppna webbsidan för telefonadministration. |
2 |
Välj . |
3 |
I avsnittet Säkerhetsinställningar väljer du Ja eller Nej från parametern FIPS-läge. |
4 |
Klicka på Skicka in alla ändringar. När du aktiverar FIPS fungerar följande funktioner sömlöst på telefonen:
|
Ta bort ett säkerhetscertifikat manuellt
Du kan ta bort ett säkerhetscertifikat manuellt från en telefon om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.
1 |
På webbsidan för telefonadministration väljer du Certifikat. |
2 |
Leta upp certifikatet på sidan Certifikat. |
3 |
Klicka på Ta bort. |
4 |
Starta om telefonen när borttagningsprocessen är klar. |
Ställ in lösenord för användare och administratör
När telefonen har registrerats i ett samtalskontrollsystem för första gången eller när du utför en fabriksåterställning på telefonen, måste du ställa in användar- och administratörslösenordet för att förbättra telefonens säkerhet. Endast när lösenordet är inställt kan du skicka ändringarna från telefonens webbsida.
Som standard är ingen lösenordsvarning aktiverad på telefonen. När telefonen inte har något användar- eller administratörslösenord visas följande varningar:
- Telefonens webbsida visar ”Inget administratörslösenord tillhandahållet. Webben är i skrivskyddat läge och du kan inte skicka in ändringar. Ändra lösenordet.” högst upp till vänster.
Fälten Användarlösenord och Administratörslösenord visar varningen ”Inget lösenord tillhandahållet” om det är tomt.
- Telefonskärmen Problem och diagnostik visar problemet ”Inget lösenord har angetts”.
1 |
Öppna webbsidan för telefonadministration |
2 |
Välj . |
3 |
(Valfritt) I avsnittet Systemkonfiguration ställer du in parametern Visa lösenordsvarningar till Ja och klickar sedan på Skicka in alla ändringar. Du kan även aktivera parametrarna i telefonens konfigurationsfil (cfg.xml).
Standard Ja Alternativ: Ja|Nej När parametern är inställd på Nej visas inte lösenordsaviseringen varken på webbsidan eller på telefonskärmen. Inte heller kommer skrivskyddat läge för webbsidan att aktiveras även om lösenordet är tomt. |
4 |
Leta upp parametern Användarlösenord eller Administratörslösenord och klicka på Ändra lösenord bredvid parametern. |
5 |
Ange det aktuella användarlösenordet i fältet Gammalt lösenord. Om du inte har ett lösenord ska du hålla fältet tomt. Standardvärdet är aktiverat.
|
6 |
Ange ett nytt lösenord i fältet Lösenord. |
7 |
Klicka på Skicka. Meddelandet Lösenordet har ändrats. visas på webbsidan. Webbsidan uppdateras om några sekunder. Varningen bredvid parametern kommer att försvinna. När du har angett användarlösenordet visar den här parametern följande i telefonens konfigurationsfil (cfg.xml):
Om du får felkoden 403 när du försöker öppna telefonens webbsida måste du ange användar- eller administratörslösenordet genom etablering i telefonens konfigurationsfil (cfg.xml). Ange till exempel en sträng i det här formatet:
|
802.1X-autentisering
Cisco IP-telefon har stöd för 802.1X-autentisering.
Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Cisco Discovery Protocol (CDP) för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömkrav. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon tillhandahåller en EAPOL-överföringsmekanism. Med den här mekanismen kan en arbetsstation som är ansluten till en Cisco IP-telefon överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN-växeln. Överföringsmekanismen säkerställer att IP-telefonen inte fungerar som LAN-växel för att autentisera en dataslutpunkt innan den ansluter till nätverket.
Cisco IP-telefon tillhandahåller även en proxy-EAPOL-logoff-mekanism. Om den lokalt anslutna datorn kopplar från IP-telefonen ser inte LAN-växeln den fysiska länken misslyckas eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten skickar IP-telefonen ett EAPOL-Logoff-meddelande till växeln på uppdrag av datorn nedströms, vilket utlöser LAN-växeln för att rensa autentiseringsposten för datorn nedströms.
Stöd för 802.1X-autentisering kräver flera komponenter:
-
Cisco IP Phone Telefonen initierar begäran om åtkomst till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Denna supplikant gör det möjligt för nätverksadministratörer att styra anslutningen av IP-telefoner till LAN-växelportarna. Den aktuella versionen av telefonens 802.1X-supplikant använder alternativen EAP-FAST och EAP-TLS för nätverksautentisering.
-
verifieringstjänst Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.
-
Strömbrytare: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och överföra meddelanden mellan telefonen och autentiseringsservern. När utbytet är klart beviljar eller nekar växeln åtkomst till nätverket för telefonen.
Du måste utföra följande åtgärder för att konfigurera 802.1X.
-
Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.
-
Konfigurera PC-port: 802.1X-standarden tar inte hänsyn till VLAN:er och rekommenderar därför att endast en enhet ska autentiseras till en specifik växelport. Vissa växlar har dock stöd för multidomänautentisering. Växlingskonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.
-
Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du aktivera PC-porten och ansluta en dator till den. I det här fallet stöder Cisco IP-telefoner proxy EAPOL-Logoff för att övervaka autentiseringsutbytet mellan växeln och den anslutna datorn.
Mer information om stöd för IEEE 802.1X på Cisco Catalyst-växlar finns i konfigurationsguiderna för Cisco Catalyst-växlar på:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
inaktiverad Om växeln inte har stöd för flera 802.1X-kompatibla enheter i samma port bör du inaktivera PC-porten när 802.1X-autentisering är aktiverad. Om du inte inaktiverar den här porten och sedan försöker bifoga en dator till den nekar växeln nätverksåtkomst till både telefonen och datorn.
-
- Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN:er bör du konfigurera den här inställningen baserat på växelstödet.
- Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
- inaktiverad Om växeln inte har stöd för multidomänautentisering inaktiverar du röst-VLAN och överväg att tilldela porten till det inbyggda VLAN.
- (Endast för Cisco Desk Phone 9800-serien)
Cisco Desk Phone 9800-serien har ett annat prefix i PID än för andra Cisco-telefoner. Om du vill att telefonen ska skicka 802.1X-autentisering ställer du in parametern Radius·Användarnamn så att den inkluderar din Cisco Desk Phone 9800-serien.
PID för telefon 9841 är till exempel DP-9841. Du kan ställa in Radius·Användarnamn till Starta med DP eller Innehåller DP. Du kan ställa in det i båda följande avsnitt:
-
Aktivera 802.1X-autentisering
När 802.1X-autentisering är aktiverad använder telefonen 802.1X-autentisering för att begära nätverksåtkomst. När 802.1X-autentisering är inaktiverad använder telefonen Cisco Discovery Protocol (CDP) för att få VLAN och nätverksåtkomst. Du kan även visa transaktionsstatus och ändra på telefonskärmens meny.
När 802.1X-autentisering är aktiverad kan du även välja enhetscertifikatet (MIC/SUDI eller anpassat) för den inledande registreringen och certifikatförnyelsen. MIC är vanligtvis för Cisco Video Phone 8875, SUDI är för Cisco Desk Phone 9800-serien. CDC kan endast användas för autentisering i 802.1x.
1 |
Utför en av följande åtgärder för att aktivera 802.1X-autentisering:
| ||||||||||||||||||||
2 |
Välj ett certifikat (MIC eller anpassat) för 802.1X-autentisering på telefonens webbsida.
Mer information om hur du väljer en certifikattyp på telefonskärmen finns i Anslut din telefon till ett Wi-Fi-nätverk.
|
Aktivera klientinitierat läge för säkerhetsförhandlingar med medieplan
För att skydda mediesessioner kan du konfigurera telefonen för att initiera säkerhetsförhandlingar för medieplan med servern. Säkerhetsmekanismen följer de standarder som anges i RFC 3329 och dess tillägg Security Mechanism Names for Media (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av förhandlingar mellan telefonen och servern kan använda SIP-protokoll över UDP, TCP och TLS. Du kan begränsa att säkerhetsförhandling för medieplan endast tillämpas när signaltransportprotokollet är TLS.
1 |
Öppna webbsidan för telefonadministration. | ||||||
2 |
Välj . | ||||||
3 |
I avsnittet SIP-inställningar ställer du in fälten MediaSec-begäran och MediaSec över TLS-endast enligt definitionen i följande tabell:
| ||||||
4 |
Klicka på Skicka in alla ändringar. |
WLAN-säkerhet
Eftersom alla WLAN-enheter som är inom räckhåll kan ta emot all annan WLAN-trafik är det viktigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller stoppar rösttrafik har Cisco SAFE Security-arkitekturen stöd för telefonen. Mer information om säkerhet i nätverk finns på http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Ciscos lösning för trådlös IP-telefoni ger säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:
-
Öppna autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan bevilja autentisering till alla begäranden eller endast till begäranden som finns på en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (AP) kan vara okrypterad.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Den här klientserversäkerhetsarkitekturen krypterar EAP-transaktioner inom en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel Identity Services Engine (ISE).
TLS-tunneln använder PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett Authority-ID (AID) till klienten (telefon), som i sin tur väljer lämplig PAC. Klienten (telefonen) returnerar en PAC-ogenomskinlig till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna innehåller nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST har stöd för automatisk PAC-etablering, men du måste aktivera det på RADIUS-servern.
I ISE upphör PAC som standard om en vecka. Om telefonen har en utgången PAC tar det längre tid att autentisera med RADIUS-servern medan telefonen får en ny PAC. För att undvika fördröjningar av PAC-etablering kan du ställa in PAC-utgångsperioden till 90 dagar eller längre på ISE- eller RADIUS-servern.
-
EAP-TLS-autentisering (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlös EAP-TLS kan klientcertifikatet vara MIC, LSC eller användarinstallerat certifikat.
-
Protected Extensible Authentication Protocol (PEAP): Ciscos egenutvecklad lösenordsbaserad ömsesidig autentisering mellan klienten (telefonen) och en RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2- och PEAP-GTC-autentiseringsmetoder stöds.
-
I förväg delad nyckel (PSK): Telefonen har stöd för ASCII-format. Du måste använda det här formatet när du konfigurerar en i förväg delad nyckel för WPA/WPA2/SAE:
ASCII: en ASCII-sträng med 8 till 63 tecken (0-9, gemener och versaler A-Z samt specialtecken)
Exempel: GREG123567@9ZX&W
Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:
-
WPA/WPA2/WPA3: Använder RADIUS-serverinformation för att generera unika nycklar för autentisering. Eftersom dessa nycklar genereras på den centraliserade RADIUS-servern ger WPA2/WPA3 mer säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.
-
Snabb och säker roaming: Använder RADIUS-server och information om en trådlös domänserver (WDS) för att hantera och autentisera nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering. Cisco Desk Phone 9861 och 9871 och Cisco Video Phone 8875 har stöd för 802.11r (FT). Både över luften och över DS stöds för att möjliggöra snabb och säker roaming. Men vi rekommenderar starkt att du använder 802.11r (FT) över luftmetoden.
Med WPA/WPA2/WPA3 anges inte krypteringsnycklarna på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på varje telefon.
För att säkerställa att rösttrafiken är säker har telefonen stöd för TKIP och AES för kryptering. När dessa mekanismer används för kryptering krypteras både signalerings-SIP-paket och RTP-paket (Real-Time Transport Protocol) mellan åtkomstpunkten och telefonen.
- tkip
-
WPA använder TKIP-kryptering som har flera förbättringar jämfört med WEP. TKIP tillhandahåller nyckelchiffrering per paket och längre initieringsvektorer (IV:er) som stärker kryptering. Dessutom säkerställer en kontroll av meddelandeintegriteten (MIC) att krypterade paket inte ändras. TKIP tar bort förutsägbarheten för WEP som hjälper inkräktare att dechiffrera WEP-nyckeln.
- aes
-
En krypteringsmetod som används för WPA2-/WPA3-autentisering. Denna nationella standard för kryptering använder en symmetrisk algoritm som har samma nyckel för kryptering och dekryptering. AES använder CBC (Cipher Blocking Chain) kryptering på 128 bitar, som stöder nyckelstorlekar på minst 128 bitar, 192 bitar och 256 bitar. Telefonen stöder en nyckelstorlek på 256 bitar.
Cisco Desk Phone 9861 och 9871 och Cisco Video Phone 8875 har inte stöd för Cisco Key Integrity Protocol (CKIP) med CMIC.
Autentiserings- och krypteringsscheman konfigureras i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna och anger olika kombinationer av autentisering och kryptering. Ett SSID associeras med ett VLAN och det specifika autentiserings- och krypteringsschemat. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID:er med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.
Vissa autentiseringsscheman kräver specifika typer av kryptering.
- När du använder en i förväg delad WPA-nyckel, en i förväg delad WPA2-nyckel eller SAE måste den i förväg delade nyckeln ställas in statiskt på telefonen. Dessa nycklar måste matcha nycklarna som finns på åtkomstpunkten.
-
Telefonen har stöd för automatisk EAP-balansering för FAST eller PEAP, men inte för TLS. För EAP-TLS-läge måste du ange det.
Autentiserings- och krypteringsscheman i följande tabell visar alternativen för nätverkskonfiguration för telefonen som motsvarar åtkomstpunktskonfigurationen.
FSR-typ | Autentisering | Nyckelhantering | Kryptering | Skyddad hanteringsram (PMF) |
---|---|---|---|---|
802.11r (fot) | PSK |
WPA-PSK wpa-psk-sha256 ft-psk | aes | Nej |
802.11r (fot) | WPAD |
sae fot-sae | aes | Ja |
802.11r (fot) | eap-tls |
WPA-EAP ft-eap | aes | Nej |
802.11r (fot) | eap-tls (wpa3) |
wpa-eap-sha256 ft-eap | aes | Ja |
802.11r (fot) | EAP-FAST |
WPA-EAP ft-eap | aes | Nej |
802.11r (fot) | eap-fast (wpa3) |
wpa-eap-sha256 ft-eap | aes | Ja |
802.11r (fot) | eap-peap |
WPA-EAP ft-eap | aes | Nej |
802.11r (fot) | eap-peap (wpa3) |
wpa-eap-sha256 ft-eap | aes | Ja |
Konfigurera Wi-Fi-profil
Du kan konfigurera en Wi-Fi-profil från telefonens webbsida eller från omsynkronisering av fjärrenhetens profil och sedan koppla profilen till de tillgängliga Wi-Fi-nätverken. Du kan använda den här Wi-Fi-profilen för att ansluta till ett Wi-Fi. För närvarande kan endast en Wi-Fi-profil konfigureras.
Profilen innehåller de parametrar som krävs för att telefoner ska kunna ansluta till telefonservern med Wi-Fi. När du skapar och använder en Wi-Fi-profil behöver du eller dina användare inte konfigurera det trådlösa nätverket för enskilda telefoner.
Med en Wi-Fi-profil kan du förhindra eller begränsa ändringar av Wi-Fi-konfigurationen på telefonen från användaren.
Vi rekommenderar att du använder en säker profil med krypteringsaktiverade protokoll för att skydda nycklar och lösenord när du använder en Wi-Fi-profil.
När du konfigurerar telefonerna för att använda EAP-FAST-autentiseringsmetoden i säkerhetsläge behöver användarna enskilda inloggningsuppgifter för att ansluta till en åtkomstpunkt.
1 |
Öppna telefonens webbsida. |
2 |
Välj . |
3 |
I avsnittet Wi-Fi-profil (n) ställer du in parametrarna enligt beskrivningen i följande tabell Parametrar för Wi-Fi-profil. Wi-Fi-profilkonfigurationen är också tillgänglig för användarinloggning.
|
4 |
Klicka på Skicka in alla ändringar. |
Parametrar för Wi-Fi-profil
Följande tabell definierar hur varje parameter i avsnittet Wi-Fi-profil(er) på fliken System på telefonens webbsida fungerar och används. Den definierar även syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.
Parametrar | Beskrivning |
---|---|
Nätverksnamn | Gör att du kan ange ett namn för det SSID som ska visas på telefonen. Flera profiler kan ha samma nätverksnamn med olika säkerhetsläge. Gör något av följande:
Standard Tom |
Säkerhetsläge | Låter dig välja den autentiseringsmetod som används för att skydda åtkomsten till Wi-Fi-nätverket. Beroende på vilken metod du väljer visas ett lösenordsfält så att du kan ange de inloggningsuppgifter som krävs för att delta i det här trådlösa nätverket. Gör något av följande:
Standard Auto |
Wi-Fi-användar-ID | Här kan du ange ett användar-ID för nätverksprofilen. Det här fältet är tillgängligt när du ställer in säkerhetsläget som Auto, EAP-FAST eller EAP-PEAP. Det här är ett obligatoriskt fält och får innehålla högst 32 alfanumeriska tecken. Gör något av följande:
Standard Tom |
Wi-Fi-lösenord | Gör att du kan ange lösenordet för det angivna användar-ID:t för Wi-Fi. Gör något av följande:
Standard Tom |
Frekvensband | Gör att du kan välja det trådlösa signalfrekvensband som WLAN använder. Gör något av följande:
Standard Auto |
Välj certifikat | Gör att du kan välja en certifikattyp för certifikatets inledande registrering och certifikatförnyelse i det trådlösa nätverket. Den här processen är endast tillgänglig för 802.1X-autentisering. Gör något av följande:
Standard Tillverkning installerad |