- Ana Sayfa
- /
- Makale
Geri bildiriminiz için teşekkürler.
Cisco IP telefonu güvenliği
Bu makalede
Geri Bildirim?Bu Yardım makalesi, Cisco BroadWorks'e kayıtlı Cisco Desk Phone 9800 Serisi ve Cisco Video Phone 8875 içindir.
Özel cihaz sertifikasını manuel olarak yükleyin
Telefon yönetimi web sayfasından sertifikayı yükleyerek telefona manuel olarak bir Özel Cihaz Sertifikası (CDC) yükleyebilirsiniz.
Başlamadan önce
Bir telefon için özel bir cihaz sertifikası yükleyebilmeniz için, şunlara sahip olmanız gerekir:
- Bilgisayarınıza kaydedilen bir sertifika dosyası (.p12 veya .pfx). Dosya, sertifikayı ve özel anahtarı içerir.
- Sertifikanın ayıklama parolası. Parola, sertifika dosyasının şifresini çözmek için kullanılır.
| 1 |
Telefon yönetimi web sayfasına erişin. |
| 2 |
Sertifika'ı seçin. |
| 3 |
Sertifika Ekle bölümünde Gözat... seçeneğine tıklayın. |
| 4 |
Bilgisayarınızdaki sertifikaya gidin. |
| 5 |
Parola ayıkla alanına sertifika ayıklama parolasını girin. |
| 6 |
Yükle düğmesine tıklayın. Sertifika dosyası ve parola doğruysa “Sertifika eklendi.” mesajını alırsınız. Aksi takdirde, sertifikanın yüklenemeyeceğini belirten bir hata mesajıyla yükleme başarısız olur.
|
| 7 |
Yüklenen sertifikanın ayrıntılarını kontrol etmek için Mevcut Sertifikalar bölümünde Görüntüle’ye tıklayın. |
| 8 |
Yüklü sertifikayı telefondan kaldırmak için Mevcut Sertifikalar bölümünde Sil'e tıklayın. Düğmeye tıkladığınızda, kaldırma işlemi onay olmadan hemen başlar.
Sertifika başarıyla kaldırılırsa “Sertifika silindi.” mesajını alırsınız. |
SCEP ile özel cihaz sertifikasını otomatik olarak yükle
Sertifika dosyasını manuel olarak yüklemek istemiyorsanız veya sertifika dosyası yerinde değilse Özel Cihaz Sertifikasını (CDC) otomatik olarak yüklemek için Basit Sertifika Kayıt Protokolü (SCEP) parametrelerini ayarlayabilirsiniz.
SCEP parametreleri doğru şekilde yapılandırıldığında, telefon SCEP sunucusuna istekler gönderir ve CA sertifikası, tanımlanan parmak izi kullanılarak cihaz tarafından doğrulanır.
Başlamadan önce
Bir telefon için özel cihaz sertifikasını otomatik olarak yükleyebilmeniz için, şunlara sahip olmanız gerekir:
- SCEP sunucu adresi
- SCEP sunucusu için kök CA sertifikasının SHA-1 veya SHA-256 parmak izi
| 1 |
Telefon yönetimi web sayfasına erişin. |
| 2 |
Sertifika'ı seçin. |
| 3 |
SCEP Yapılandırması 1 bölümünde, parametreleri aşağıdaki tabloda açıklandığı şekilde ayarlayın SCEP yapılandırması için parametreler. |
| 4 |
Tüm Değişiklikleri Gönder’e tıklayın. |
SCEP yapılandırması için parametreler
Aşağıdaki tabloda, telefon web arabirimindeki Sertifika sekmesi altındaki SCEP Yapılandırması 1 bölümünde bulunan SCEP yapılandırma parametrelerinin işlevi ve kullanımı tanımlanmıştır. Ayrıca, bir parametreyi yapılandırmak için telefon yapılandırma dosyasına (cfg.xml) eklenen dizenin sözdizimi de tanımlanır.
| Parametreler | Açıklama |
|---|---|
| Sunucu |
SCEP sunucu adresi. Bu parametre zorunludur. Aşağıdakilerden birini gerçekleştirin:
Geçerli değerler: Bir URL veya IP adresi. HTTPS şeması desteklenmiyor. Varsayılan Boş |
| Kök CA Parmak Izi |
SCEP işlemi sırasında doğrulama için Kök CA'nın SHA256 veya SHA1 parmak izi. Bu parametre zorunludur. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Boş |
| Parolayı değiştir |
SCEP aracılığıyla bir sertifika kaydı sırasında telefona karşı Sertifika Yetkilisi (CA) yetkilendirmesi için sınama parolası. Bu parametre isteğe bağlıdır. Gerçek SCEP ortamına göre, sınama parolasının davranışı değişir.
Aşağıdakilerden birini gerçekleştirin:
Varsayılan Boş |
DHCP seçeneği 43 aracılığıyla SCEP parametreleri yapılandırması
Telefon web sayfasındaki manuel yapılandırmalar tarafından SCEP sertifika kaydına ek olarak, parametreleri bir DHCP sunucusundan doldurmak için DHCP seçeneği 43'ü de kullanabilirsiniz. DHCP seçeneği 43, SCEP parametreleri ile önceden yapılandırılır. Daha sonra telefon, SCEP sertifika kaydını gerçekleştirmek için parametreleri DHCP sunucusundan alabilir.
- DHCP seçenek 43 aracılığıyla SCEP parametreleri yapılandırması, yalnızca fabrika ayarlarına sıfırlama işleminin yapıldığı telefonda kullanılabilir.
- Telefonlar, hem Seçenek 43 hem de uzak sağlamayı (örneğin, Seçenek 66,160,159,150 veya bulut sağlamayı) destekleyen ağa yerleştirilmeyecektir. Aksi takdirde, telefonlar Seçenek 43 yapılandırmalarını almayabilir.
DHCP seçenek 43'te SCEP parametrelerini yapılandırarak bir SCEP sertifikası kaydetmek için aşağıdakileri yapın:
- SCEP ortamı hazırlayın.
SCEP ortamı kurulumu hakkında bilgi için SCEP sunucusu belgelerinize bakın.
- DHCP seçeneği 43'ü ayarlayın (8.4 Satıcıya Özel Bilgiler, RFC 2132'de tanımlanmıştır).
Alt seçenekler (10–15) şu yöntem için ayrılmıştır:
Telefon web sayfasındaki parametre Alt Seçenek Tür Uzunluk (bayt) Zorunlu FIPS Modu 10 Boolean 1 Hayır* Sunucu 11 Dize 208 - uzunluk (Parolayı Sınama) Evet Kök CA Parmak Izi 12 ikili 20 veya 32 Evet Parolayı değiştir 13 Dize 208 - uzunluk (Sunucu) Hayır* 802.1X Kimlik Doğrulamasını Etkinleştirme 14 Boolean 1 Hayır Sertifika Seç 15 imzasız 8 bit 1 Hayır DHCP seçeneği 43'ü kullandığınızda, yöntemin aşağıdaki özelliklerine dikkat edin:
- Alt seçenekler (10–15), Özel Cihaz Sertifikası (CDC) için ayrılmıştır.
- DHCP seçeneği 43'ün maksimum uzunluğu 255 bayttır.
- Sunucu + Sınama Parolası’nın maksimum uzunluğu 208 bitten daha az olmalıdır.
- FIPS Modu değeri, ekleme sağlama yapılandırmasıyla tutarlı olacaktır. Aksi takdirde, telefon kullanıma alındıktan sonra önceden yüklenmiş sertifikayı alamaz. Özellikle,
- Telefon FIPS modunun devre dışı bırakıldığı bir ortama kaydedilirse, DHCP seçenek 43'te FIPS Modu parametresini yapılandırmanız gerekmez. FIPS modu varsayılan olarak devre dışıdır.
- Telefon FIPS modunun etkinleştirildiği bir ortama kaydedilirse, DHCP seçenek 43'te FIPS modunu etkinleştirmeniz gerekir. Ayrıntılar için bkz. FIPS modunu etkinleştirme.
- Seçenek 43'teki parola açık metin şeklindedir.
Sınama parolası boşsa telefon ilk kayıt ve sertifika yenileme için MIC/SUDI kullanır. Sınama parolası yapılandırılmışsa yalnızca ilk kayıt için kullanılır ve yüklenen sertifika, sertifika yenileme için kullanılır.
- 802.1X Kimlik Doğrulamasını Etkinleştir ve Sertifika Seç yalnızca kablolu ağdaki telefonlar için kullanılır.
- Cihaz modelini tanımlamak için DHCP seçenek 60 (Satıcı Sınıfı Tanımlayıcısı) kullanılır.
Aşağıdaki tabloda, DHCP seçeneği 43 (10–15 alt seçenekleri) için bir örnek sunulmaktadır:
Alt seçenek ondalık/onaltılık Değer uzunluğu (bayt) ondalık/onaltılık Değer Onaltılık değer 10/0a 01 Eylül 1 (0: Devre dışı; 1: Etkin) 01 01 11/0b 12 Eylül http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d 16/10 d233ccf9b9952a15 44323333434346394239393532413135 14/0e 01 Eylül 1 (0: Hayır; 1: Evet* 01 01 15/0f 01 Eylül 1 (0: Üretim tesisi; 1: Özel olarak yüklendi) 01 01 Parametre değerlerinin özeti:
-
FIPS Modu = Etkin
-
Sunucu =
http://10.79.57.91 -
Kök CA Parmak Izi =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Parola Sınama = D233CCF9B9952A15
-
802.1X Kimlik Doğrulamasını Etkinleştir = Evet
-
Sertifika Seçimi = Özel yüklendi
Son onaltılık değerin sözdizimi şudur:
{<suboption><length><value>}...Yukarıdaki parametre değerlerine göre, son onaltılık değer aşağıdaki gibidir:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Bir DHCP sunucusunda DHCP seçeneği 43'ü yapılandırın.Bu adım, Cisco Ağ Kaydı'nda DHCP seçenek 43 yapılandırmalarına bir örnek sağlar.
- DHCP seçeneği tanım kümesi ekleyin.
Satıcı Seçeneği Dizesi, IP telefonlarının model adıdır. Geçerli değer: DP-9841, DP-9851, DP-9861, DP-9871 veya CP-8875.
- DHCP seçeneği 43'ü ve alt seçenekleri, DHCP seçeneği tanım kümesine ekleyin.
Örnek:
- DHCP politikasına seçenek 43'ü ekleyin ve değeri aşağıdaki şekilde ayarlayın:
Örnek:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Ayarlarınızı doğrulama Telefon ve hizmet arasındaki ağ trafiğinin izini yakalamak için Wireshark'ı kullanabilirsiniz.
- DHCP seçeneği tanım kümesi ekleyin.
- Telefon için fabrika ayarlarına sıfırlama gerçekleştirin.
Telefon sıfırlandıktan sonra Sunucu, Kök CA Parmak Izi ve Parolayı Sınama parametreleri otomatik olarak doldurulur. Bu parametreler, telefon yönetimi web sayfasındaki Sertifika > bölümünde bulunur.
Yüklenen sertifikanın ayrıntılarını kontrol etmek için Mevcut Sertifikalar bölümünde Görüntüle’ye tıklayın.
Sertifika yükleme durumunu kontrol etmek için 'nu seçin. Indirme Durumu 1 en son sonucu gösterir. Sertifika kaydı sırasında herhangi bir sorun oluşursa indirme durumu sorun giderme amacıyla sorunun nedenini gösterebilir.
Sınama parolası kimlik doğrulaması başarısız olursa, kullanıcılardan parolayı telefon ekranına girmeleri istenir. - (Isteğe bağlı): Yüklü sertifikayı telefondan kaldırmak için Mevcut Sertifikalar bölümünde Sil'e tıklayın.Düğmeye tıkladığınızda, kaldırma işlemi onay olmadan hemen başlar.
SCEP ile sertifika yenileme
Cihaz sertifikası, SCEP işlemi tarafından otomatik olarak yenilenebilir.
- Telefon, sertifikanın 4 saatte bir 15 gün içinde süresinin dolacağını kontrol eder. Bu durumda, telefon sertifika yenileme işlemini otomatik olarak başlatır.
- Sınama parolası boşsa telefon hem ilk kayıt hem de sertifika yenileme için MIC/SUDI kullanır. Sınama parolası yapılandırılmışsa yalnızca ilk kayıt için kullanılır, mevcut/yüklenen sertifika sertifika yenileme için kullanılır.
- Telefon, yeni cihaz sertifikasını alana kadar eski cihaz sertifikasını kaldırmaz.
- Cihaz sertifikasının veya CA'nın süresi dolduğu için sertifika yenileme başarısız olursa, telefon ilk kaydı otomatik olarak tetikler. Bu arada, sınama parolası kimlik doğrulaması başarısız olursa telefon ekranında bir parola giriş ekranı açılır ve kullanıcılardan telefonda sınama parolasını girmeleri istenir.
FIPS modunu etkinleştir
Bir telefonun Federal Bilgi Işleme Standartları (FIPS) ile uyumlu olmasını sağlayabilirsiniz.
FIPS, askeri olmayan hükümet içinde ve ajanslarla çalışan devlet yüklenicileri ve satıcıları tarafından kullanılmak üzere belge işleme, şifreleme algoritmaları ve diğer bilgi teknolojisi standartlarını tanımlayan bir dizi standarttır. CiscoSSL FOM (FIPS Nesne Modülü), dikkatlice tanımlanmış bir yazılım bileşenidir ve CiscoSSL kitaplığıyla uyumluluk için tasarlanmıştır; bu nedenle CiscoSSL kitaplığını ve API'yi kullanan ürünler, minimum çabayla FIPS 140-2 doğrulanmış kriptografiyi kullanacak şekilde dönüştürülebilir.
| 1 |
Telefon yönetimi web sayfasına erişin. |
| 2 |
'i seçin. |
| 3 |
Güvenlik Ayarları bölümünde, FIPS Modu parametresinden Evet veya Hayır’ı seçin. |
| 4 |
Tüm Değişiklikleri Gönder’e tıklayın. FIPS'i etkinleştirdiğinizde, aşağıdaki özellikler telefonda sorunsuz bir şekilde çalışır:
|
Güvenlik sertifikasını manuel olarak kaldırma
Basit Sertifika Kayıt Protokolü (SCEP) kullanılamıyorsa, telefondan manuel olarak bir güvenlik sertifikasını kaldırabilirsiniz.
| 1 |
Telefon yönetimi web sayfasından Sertifikalar'ı seçin. |
| 2 |
Sertifikalar sayfasındaki sertifikayı bulun. |
| 3 |
Sil'e tıklayın. |
| 4 |
Silme işlemi tamamlandıktan sonra telefonu yeniden başlatın. |
Kullanıcı ve yönetici parolasını ayarla
Telefon ilk kez bir çağrı kontrol sistemine kaydedildikten veya telefonda fabrika ayarlarına sıfırlandıktan sonra, telefonun güvenliğini artırmak için kullanıcı ve yönetici parolasını ayarlamanız gerekir. Yalnızca parola ayarlandığında, değişiklikleri telefon web sayfasından gönderebilirsiniz.
Varsayılan olarak, telefonda parola uyarısı etkinleştirilmez. Telefonda herhangi bir kullanıcı veya yönetici parolası yoksa aşağıdaki uyarılar görüntülenir:
- Telefon web sayfasında "Yönetici parolası sağlanmadı. Web salt okunur moddadır ve değişiklik gönderemezsiniz. Lütfen parolayı değiştirin."
Kullanıcı Parolası ve Yönetici Parolası alanları, boşsa sırasıyla "Parola sağlanmadı" uyarısını görüntüler.
- Telefon ekranında Sorunlar ve tanılama "Parola sağlanmadı" sorunu görüntülenir.
| 1 |
Telefon yönetimi web sayfasına erişin |
| 2 |
'i seçin. |
| 3 |
(Isteğe bağlı) Sistem Yapılandırması bölümünde, Parola Uyarıları Görüntüle parametresini Evet olarak ayarlayın ve ardından Tüm Değişiklikleri Gönder’e tıklayın. Parametreleri telefon yapılandırma dosyasında (cfg.xml) da etkinleştirebilirsiniz.
Varsayılan Evet Seçenekler: Evet|Hayır Parametre Hayır olarak ayarlandığında, parola uyarısı web sayfasında veya telefon ekranında görünmez. Ayrıca, parola boş olsa bile sayfa web için yalnızca hazır mod etkinleştirilmeyecektir. |
| 4 |
Kullanıcı Parolası veya Yönetici Parolası parametresini bulun ve parametrenin yanındaki Parolayı Değiştir’e tıklayın. |
| 5 |
Eski Parola alanına geçerli kullanıcı parolasını girin. Parolanız yoksa alanı boş tutun. Varsayılan değer 0'dır.
|
| 6 |
Parola alanına yeni bir parola girin. |
| 7 |
Gönder’e tıklayın. Parola başarıyla değiştirildi. mesajı web sayfasında görüntülenecektir. Web sayfası birkaç saniye içinde yenilenecektir. Parametrenin yanındaki uyarı kaybolur. Kullanıcı parolasını ayarladıktan sonra, bu parametre telefon yapılandırma XML dosyasında (cfg.xml) aşağıdakileri görüntüler:
Telefon web sayfasına erişmeye çalıştığınızda 403 hata kodunu alırsanız, telefon yapılandırma dosyasında (cfg.xml) sağlama yaparak kullanıcı veya yönetici parolasını ayarlamanız gerekir. Örneğin, şu biçime sahip bir dize girin:
|
802.1X Kimlik Doğrulaması
Cisco IP Telefonları, 802.1X Kimlik Doğrulamasını destekler.
Cisco IP Telefonları ve Cisco Catalyst anahtarları, birbirlerini tanımlamak ve VLAN tahsisi ve hat içi güç gereksinimleri gibi parametreleri belirlemek için geleneksel olarak Cisco Keşif Protokolü'nü (CDP) kullanır. CDP, yerel olarak bağlı iş istasyonlarını tanımlamaz. Cisco IP Telefonları, bir EAPOL geçiş mekanizması sağlar. Bu mekanizma, Cisco IP Telefonu'na bağlı bir iş istasyonunun EAPOL mesajlarını LAN anahtarındaki 802.1X kimlik doğrulayıcıya geçirmesine olanak verir. Geçiş mekanizması, IP Telefonunun ağa erişmeden önce bir veri uç noktasının kimliğini doğrulamak için LAN anahtarı olarak hareket etmemesini sağlar.
Cisco IP Telefonları ayrıca bir proxy EAPOL Oturum Kapatma mekanizması sağlar. Yerel olarak bağlı bilgisayarın IP Telefonu ile bağlantısı kesilirse LAN anahtarı, LAN anahtarı ile IP Telefonu arasındaki bağlantı korunduğu için fiziksel bağlantının başarısız olduğunu görmez. Ağ bütünlüğünün tehlikeye girmesini önlemek için, IP Telefonu aşağı akış bilgisayarı adına anahtara bir EAPOL-Oturum Kapatma mesajı gönderir. Bu mesaj, LAN anahtarının aşağı akış bilgisayarına ilişkin kimlik doğrulama girişini temizlemesini tetikler.
802.1X kimlik doğrulaması desteği, birkaç bileşen gerektirir:
-
Cisco IP Telefonu Telefon, ağa erişim isteğini başlatır. Cisco IP Telefonları, bir 802.1X talepçisi içerir. Bu talepçi, ağ yöneticilerinin IP telefonlarının LAN anahtar bağlantı noktalarına bağlantısını kontrol etmesine izin verir. Telefon 802.1X talepçisinin geçerli sürümü, ağ kimlik doğrulaması için EAP-FAST ve EAP-TLS seçeneklerini kullanır.
-
kimlik doğrulama hizmeti Kimlik doğrulama sunucusu ve anahtar, telefonun kimliğini doğrulayan bir paylaşılan gizli ile yapılandırılmalıdır.
-
Geçiş: Anahtarın, kimlik doğrulayıcı olarak hareket edebilmesi ve telefon ile kimlik doğrulama sunucusu arasındaki mesajları geçirebilmesi için 802.1X'i desteklemesi gerekir. Değişim tamamlandıktan sonra, anahtar telefonun ağa erişimini sağlar veya reddeder.
802.1X'i yapılandırmak için aşağıdaki işlemleri gerçekleştirmeniz gerekir.
-
Telefonda 802.1X Kimlik Doğrulamasını etkinleştirmeden önce diğer bileşenleri yapılandırın.
-
Bilgisayar Bağlantı Noktasını Yapılandırma: 802.1X standardı, VLAN'ları dikkate almaz ve bu nedenle yalnızca tek bir cihazın belirli bir anahtar bağlantı noktasında kimliği doğrulanmasını önerir. Ancak, bazı anahtarlar çok etki alanlı kimlik doğrulamasını destekler. Anahtar yapılandırması, bir bilgisayarı telefonun bilgisayar bağlantı noktasına bağlayıp bağlayamayacağınızı belirler.
-
Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız, bilgisayar bağlantı noktasını etkinleştirebilir ve buraya bir bilgisayar bağlayabilirsiniz. Bu durumda, Cisco IP Telefonları anahtar ile bağlı bilgisayar arasındaki kimlik doğrulama alışverişlerini izlemek için proxy EAPOL-Oturum Kapatma özelliğini destekler.
Cisco Catalyst anahtarlarında IEEE 802.1X desteği hakkında daha fazla bilgi için, aşağıdaki adreste bulunan Cisco Catalyst anahtar yapılandırma kılavuzlarına bakın:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
devre dışı Anahtar aynı bağlantı noktasında birden fazla 802.1X uyumlu cihazı desteklemiyorsa, 802.1X kimlik doğrulaması etkinleştirildiğinde Bilgisayar Bağlantı Noktasını devre dışı bırakmanız gerekir. Bu bağlantı noktasını devre dışı bırakmaz ve ardından buraya bir bilgisayar eklemeye çalışırsanız, anahtar hem telefona hem de bilgisayara ağ erişimini reddeder.
-
- Ses VLAN'ını Yapılandırma: 802.1X standardı VLAN'ları hesaba katmadığından, bu ayarı anahtar desteğine göre yapılandırmanız gerekir.
- Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız ses VLAN'ını kullanmaya devam edebilirsiniz.
- devre dışı Anahtar çok etki alanlı kimlik doğrulamasını desteklemiyorsa, Ses VLAN'ını devre dışı bırakın ve bağlantı noktasını yerel VLAN'a atayın.
- (Yalnızca Cisco Desk Phone 9800 Serisi için)
Cisco Masa Telefonu 9800 Serisi, diğer Cisco telefonları için PID'den farklı bir öneke sahiptir. Telefonunuzun 802.1X kimlik doğrulamasını geçmesini sağlamak için Radius·Kullanıcı-Adı parametresini Cisco Masa Telefonu 9800 Serisini içerecek şekilde ayarlayın.
Örneğin, telefon 9841'in PID'i DP-9841'dir; Radius·Kullanıcı-Adı'nı DP ile Başlat veya DP Içerir olarak ayarlayabilirsiniz. Aşağıdaki iki bölümde de ayarlayabilirsiniz:
-
802.1X kimlik doğrulamasını etkinleştirin
802.1X kimlik doğrulaması etkinleştirildiğinde, telefon ağ erişimi istemek için 802.1X kimlik doğrulamasını kullanır. 802.1X kimlik doğrulaması devre dışı bırakıldığında, telefon VLAN ve ağ erişimi almak için Cisco Keşif Protokolü'nü (CDP) kullanır. Ayrıca işlem durumunu görüntüleyebilir ve telefon ekranı menüsünden değiştirebilirsiniz.
802.1X kimlik doğrulaması etkinleştirildiğinde, ilk kayıt ve sertifika yenileme için cihaz sertifikasını (MIC/SUDI veya özel) de seçebilirsiniz. Genellikle, MIC Cisco Video Telefonu 8875 içindir, SUDI ise Cisco Masa Telefonu 9800 Serisi içindir. CDC, yalnızca 802.1x'te kimlik doğrulaması için kullanılabilir.
| 1 |
802.1X kimlik doğrulamasını etkinleştirmek için aşağıdaki eylemlerden birini gerçekleştirin:
| ||||||||||||||||||||
| 2 |
Telefon web sayfasında 802.1X kimlik doğrulaması için bir sertifika (MIC veya özel) seçin.
Telefon ekranında sertifika türü seçme hakkında bilgi için bkz. Telefonunuzu bir Wi-Fi ağına bağlama.
|
Ortam düzlemi güvenlik anlaşmaları için istemci Tarafından başlatılan modu etkinleştirin
Ortam oturumlarını korumak için, telefonu sunucuyla ortam düzlemi güvenlik anlaşmalarını başlatacak şekilde yapılandırabilirsiniz. Güvenlik mekanizması, RFC 3329'da belirtilen standartları ve Medya için Güvenlik Mekanizması Adları dahili taslağını takip eder (Bkz. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Telefon ve sunucu arasındaki anlaşmaların taşınması, UDP, TCP ve TLS üzerinden SIP protokolünü kullanabilir. Ortam düzlemi güvenlik anlaşmasının yalnızca sinyal aktarım protokolü TLS olduğunda uygulanmasını sınırlayabilirsiniz.
| 1 |
Telefon yönetimi web sayfasına erişin. | ||||||
| 2 |
öğesini seçin. | ||||||
| 3 |
SIP Ayarları bölümünde, aşağıdaki tabloda açıklandığı şekilde MediaSec Isteği ve Yalnızca TLS Üzerinden MediaSec alanlarını ayarlayın:
| ||||||
| 4 |
Tüm Değişiklikleri Gönder’e tıklayın. |
WLAN güvenliği
Kapsama alanındaki tüm WLAN cihazları diğer WLAN trafiğinin hepsini alabildiği için, sesli iletişimlerin güvenliğini sağlamak WLAN'lar için önemlidir. Davetsiz misafirlerin ses trafiğini manipüle etmediğinden veya engellemediğinden emin olmak için, Cisco SAFE Güvenlik mimarisi telefonu destekler. Ağlarda güvenlik hakkında daha fazla bilgi için bkz. http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Cisco Kablosuz IP telefon çözümü, telefonun desteklediği aşağıdaki kimlik doğrulama yöntemlerini kullanarak yetkilendirilmemiş oturum açma işlemlerini ve tehlikeye atılmış iletişimleri engelleyen kablosuz ağ güvenliği sağlar:
-
Kimlik Doğrulamayı Aç: Herhangi bir kablosuz cihaz, açık bir sistemde kimlik doğrulama isteyebilir. Isteği alan AP, herhangi bir talep sahibine veya yalnızca kullanıcı listesinde bulunan talep sahiplerine kimlik doğrulama verebilir. Kablosuz cihaz ve Erişim Noktası (AP) arasındaki iletişim şifrelenmemiş olabilir.
-
Genişletilebilir Kimlik Doğrulama Protokolü-Güvenli Tünel (EAP-FAST) Kimlik Doğrulaması ile Esnek Kimlik Doğrulama: Bu istemci-sunucu güvenlik mimarisi, EAP işlemlerini AP ile RADIUS sunucusu arasında, Kimlik Hizmetleri Motoru (ISE) gibi bir Taşıma Düzeyi Güvenliği (TLS) tüneli içinde şifreler.
TLS tüneli, istemci (telefon) ve RADIUS sunucusu arasında kimlik doğrulaması yapmak için Korumalı Erişim Kimlik Bilgilerini (PAC'ler) kullanır. Sunucu istemciye (telefon) bir Yetki Kimliği (AID) gönderir ve istemci de uygun PAC'i seçer. Istemci (telefon), RADIUS sunucusuna PAC-Opak döndürür. Sunucu, birincil anahtar ile PAC'in şifresini çözer. Her iki uç nokta da artık PAC anahtarını içerir ve bir TLS tüneli oluşturulur. EAP-FAST, otomatik PAC sağlamayı destekler ancak bunu RADIUS sunucusunda etkinleştirmeniz gerekir.
ISE'de, varsayılan olarak, PAC bir hafta içinde sona erer. Telefonda süresi dolmuş bir PAC varsa, telefon yeni bir PAC alırken RADIUS sunucusu ile kimlik doğrulama daha uzun sürer. PAC sağlamasında gecikmeleri önlemek için, ISE veya RADIUS sunucusunda PAC sona erme süresini 90 gün veya daha uzun olarak ayarlayın.
-
Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (EAP-TLS) Kimlik Doğrulaması: EAP-TLS, kimlik doğrulama ve ağ erişimi için bir istemci sertifikası gerektirir. Kablosuz EAP-TLS için istemci sertifikası MIC, LSC veya kullanıcı tarafından yüklenen sertifika olabilir.
-
Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP): Istemci (telefon) ve bir RADIUS sunucusu arasında Cisco'ya özel parola tabanlı karşılıklı kimlik doğrulama düzeni. Telefon, kablosuz ağ ile kimlik doğrulaması için PEAP kullanabilir. Hem PEAP-MSCHAPV2 hem de PEAP-GTC kimlik doğrulama yöntemleri desteklenir.
-
Önceden Paylaşılan Anahtar (PSK): Telefon ASCII biçimini destekler. Önceden paylaşılan bir WPA/WPA2/SAE anahtarı ayarlarken bu biçimi kullanmanız gerekir:
ASCII: 8 ila 63 karakter uzunluğunda bir ASCII karakterli dize (0-9, küçük ve büyük harf A-Z ve özel karakterler)
Örnek: GREG123567@9ZX&W
Aşağıdaki kimlik doğrulama düzenleri, kimlik doğrulama anahtarlarını yönetmek için RADIUS sunucusunu kullanır:
-
wpa/wpa2/wpa3: Kimlik doğrulaması için benzersiz anahtarlar oluşturmak üzere RADIUS sunucu bilgilerini kullanır. Bu anahtarlar merkezi RADIUS sunucusunda oluşturulduğu için, WPA2/WPA3 AP ve telefonda depolanan WPA önceden kaydedilmiş anahtarlardan daha fazla güvenlik sağlar.
-
Hızlı Güvenli Dolaşım: Anahtarları yönetmek ve kimliklerini doğrulamak için RADIUS sunucusu ve bir kablosuz etki alanı sunucusu (WDS) bilgilerini kullanır. WDS, hızlı ve güvenli yeniden kimlik doğrulaması için FT'nin etkin olduğu istemci cihazları için güvenlik kimlik bilgileri önbelleğini oluşturur. Cisco Masa Telefonu 9861 ve 9871 ve Cisco Video Telefonu 8875, 802.11r (FT) özelliğini destekler. Hızlı güvenli dolaşım sağlamak için hem hava üzerinden hem de DS üzerinden desteklenir. Ancak hava üzerinden 802.11r (FT) kullanmanızı şiddetle tavsiye ederiz.
WPA/WPA2/WPA3 ile, şifreleme anahtarları telefona girilmez, ancak AP ve telefon arasında otomatik olarak türetilir. Ancak kimlik doğrulama için kullanılan EAP kullanıcı adı ve parolası, her telefona girilmelidir.
Telefon, ses trafiğinin güvenli olduğundan emin olmak için şifreleme için TKIP ve AES'i destekler. Bu mekanizmalar şifreleme için kullanıldığında, hem sinyal SIP paketleri hem de ses Gerçek Zamanlı Aktarım Protokolü (RTP) paketleri AP ve telefon arasında şifrelenir.
- tkip
-
WPA, WEP'ye göre çeşitli iyileştirmelere sahip TKIP şifrelemesini kullanır. TKIP, paket başına anahtar şifrelemesi ve şifrelemeyi güçlendiren daha uzun başlatma vektörleri (IV'ler) sağlar. Ayrıca, mesaj bütünlük kontrolü (MIC) şifreli paketlerin değiştirilmemesini sağlar. TKIP, davetsiz misafirlerin WEP anahtarının şifresini çözmesine yardımcı olan WEP öngörülebilirliğini kaldırır.
- aes
-
WPA2/WPA3 kimlik doğrulaması için kullanılan bir şifreleme yöntemi. Bu ulusal şifreleme standardı, şifreleme ve şifre çözme için aynı anahtara sahip simetrik bir algoritma kullanır. AES, minimum 128 bit, 192 bit ve 256 bit anahtar boyutlarını destekleyen 128 bit boyutunda Şifre Engelleme Zinciri (CBC) şifrelemesi kullanır. Telefon, 256 bit anahtar boyutunu destekler.
Cisco Masa Telefonu 9861 ve 9871 ve Cisco Video Telefonu 8875, CMIC ile Cisco Anahtar Bütünlük Protokolünü (CKIP) desteklemez.
Kimlik doğrulama ve şifreleme düzenleri kablosuz LAN içinde ayarlanır. VLAN'lar ağda ve AP'lerde yapılandırılır ve kimlik doğrulama ve şifrelemenin farklı kombinasyonlarını belirtir. SSID, VLAN ve belirli kimlik doğrulama ve şifreleme düzeniyle ilişkilendirilir. Kablosuz istemci cihazlarının kimliklerinin başarıyla doğrulanması için, AP'lerde ve telefonda aynı SSID'leri kimlik doğrulama ve şifreleme düzenleriyle yapılandırmanız gerekir.
Bazı kimlik doğrulama düzenleri belirli türde şifreleme gerektirir.
- WPA önceden paylaşılan anahtarı, WPA2 önceden paylaşılan anahtarı veya SAE kullandığınızda, önceden paylaşılan anahtarın telefonda statik olarak ayarlanması gerekir. Bu anahtarlar, AP'deki anahtarlarla eşleşmelidir.
-
Telefon, FAST veya PEAP için otomatik EAP alışverişini destekler ancak TLS için desteklemez. EAP-TLS modu için bunu belirtmeniz gerekir.
Aşağıdaki tabloda yer alan kimlik doğrulama ve şifreleme düzenleri, telefon için AP yapılandırmasına karşılık gelen ağ yapılandırma seçeneklerini gösterir.
| FSR Türü | Kimlik Doğrulaması | Anahtar Yönetimi | Şifreleme | Korumalı Yönetim Çerçevesi (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
wpa- psk wpa-psk-sha256 ft- psk | aes | Hayır |
| 802.11r (FT) | WPAD |
Kategori: Sae ft - sae | aes | Evet |
| 802.11r (FT) | eap- tls |
wpa- eap ft- eap | aes | Hayır |
| 802.11r (FT) | eap- tls (wpa3) |
wpa-eap-sha256 ft- eap | aes | Evet |
| 802.11r (FT) | EAP-FAST |
wpa- eap ft- eap | aes | Hayır |
| 802.11r (FT) | eap- hızlı (wpa3) |
wpa-eap-sha256 ft- eap | aes | Evet |
| 802.11r (FT) | eap- peap |
wpa- eap ft- eap | aes | Hayır |
| 802.11r (FT) | eap- peap (wpa3) |
wpa-eap-sha256 ft- eap | aes | Evet |
Wi-Fi profili ayarla
Wi-Fi profilini telefon web sayfasından veya uzak cihaz profili yeniden eşitlemeden yapılandırabilir ve ardından profili mevcut Wi-Fi ağlarıyla ilişkilendirebilirsiniz. Bir Wi-Fi'a bağlanmak için bu Wi-Fi profilini kullanabilirsiniz. Şu anda yalnızca bir Wi-Fi profili yapılandırılabilir.
Profil, telefonların Wi-Fi ile telefon sunucusuna bağlanması için gerekli parametreleri içerir. Bir Wi-Fi profili oluşturduğunuzda ve kullandığınızda, kablosuz ağı ayrı telefonlar için yapılandırmanız gerekmez.
Wi-Fi profili, kullanıcı tarafından telefondaki Wi-Fi yapılandırmasında yapılan değişiklikleri önlemenize veya sınırlamanıza olanak verir.
Wi-Fi profili kullandığınızda anahtarları ve parolaları korumak için şifreleme özellikli protokollerle güvenli bir profil kullanmanızı öneririz.
Telefonları güvenlik modunda EAP-FAST kimlik doğrulama yöntemini kullanacak şekilde ayarladığınızda, kullanıcılarınızın bir erişim noktasına bağlanmak için bireysel kimlik bilgilerine ihtiyacı olur.
| 1 |
Telefon web sayfasına erişin. |
| 2 |
'i seçin. |
| 3 |
Wi-Fi Profili (n) bölümünde, parametreleri aşağıdaki tabloda açıklandığı şekilde ayarlayın Wi-Fi profili için parametreler. Wi-Fi profili yapılandırması, kullanıcının oturum açması için de kullanılabilir.
|
| 4 |
Tüm Değişiklikleri Gönder’e tıklayın. |
Wi-Fi profili parametreleri
Aşağıdaki tabloda, telefon web sayfasındaki Sistem sekmesi altındaki Wi-Fi Profili(n) bölümündeki her bir parametrenin işlevi ve kullanımı tanımlanmıştır. Ayrıca, bir parametreyi yapılandırmak için telefon yapılandırma dosyasına (cfg.xml) eklenen dizenin sözdizimi de tanımlanır.
| Parametreler | Açıklama |
|---|---|
| Ağ adı | Telefonda görüntülenecek SSID için bir ad girmenize olanak sağlar. Birden fazla profil farklı güvenlik modu ile aynı ağ adına sahip olabilir. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Boş |
| Güvenlik modu | Wi-Fi ağına güvenli erişim sağlamak için kullanılan kimlik doğrulama yöntemini seçmenize olanak verir. Seçtiğiniz yönteme bağlı olarak, bu Wi-Fi ağına katılmak için gerekli kimlik bilgilerini sağlayabilmeniz için bir parola alanı görüntülenir. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Auto |
| Wi-Fi Kullanıcı Kimliği | Ağ profili için kullanıcı kimliği girmenize olanak tanır. Güvenlik modunu Otomatik, EAP-FAST veya EAP-PEAP olarak ayarladığınızda bu alan kullanılabilir. Bu alan zorunlu bir alandır ve maksimum 32 alfasayısal karaktere izin verir. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Boş |
| Wi-Fi Parolası | Belirtilen Wi-Fi Kullanıcı Kimliği için parolayı girmenize olanak sağlar. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Boş |
| Frekans Bandı | WLAN'ın kullandığı kablosuz sinyal frekans bandını seçmenize olanak verir. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Auto |
| Sertifika Seç | Kablosuz ağda sertifika ilk kaydı ve sertifika yenileme için bir sertifika türü seçmenize olanak verir. Bu işlem yalnızca 802.1X kimlik doğrulaması için kullanılabilir. Aşağıdakilerden birini gerçekleştirin:
Varsayılan Fabrikada montaj |
