У цій статті
Підтримувані функції безпеки
dropdown icon
Безпека телефонних викликів
    Безпечна ідентифікація конференц-дзвінка
    Ідентифікація захищеного телефонного виклику
    Забезпечити шифрування баржі
dropdown icon
Безпека бездротової локальної мережі
    Створіть профіль Wi-Fi
    Встановіть сертифікат користувача з веб-сторінки адміністрування телефону
    Встановіть сервер автентифікації CA з веб-сторінки адміністрування телефону
    Ручно видаліть сертифікат безпеки зі сторінки адміністрування телефону
    Налаштуйте SCEP
Налаштування локально значимого сертифіката (LSC)
dropdown icon
Автентифікація 802.1X для дротових мереж
    Увімкніть автентифікацію 802.1X для дротових мереж на вашому телефоні
    Увімкнути автентифікацію 802.1X для дротових мереж у Cisco Unified Communications Manager Administration
    Меню налаштувань безпеки на телефоні
Налаштуйте підтримувані версії TLS
TURN вимкнено гучний зв'язок і гарнітуру на Cisco Бездротовий телефон 9821
Cisco Бездротовий телефон 9821 охорона (Unified CM)
list-menuУ цій статті
list-menuНадіслати відгук?

Ця стаття довідки стосується Cisco бездротового телефону 9821, зареєстрованого на Cisco Unified Communications Manager (Unified CM).

Ви можете увімкнути Cisco Unified Communications Manager (Unified CM) для роботи в покращеному середовищі безпеки. Завдяки цим удосконаленням ваша телефонна мережа працюватиме в системі суворого контролю безпеки й ризиків, що захистить вас і ваших користувачів.

Покращене середовище безпеки пропонує такі функції:

  • Автентифікація пошуку контактів

  • TCP як стандартний протокол для логування віддаленого аудиту

  • Покращена політика щодо кваліфікації

  • Підтримка сімейства хешів SHA-2 для цифрових підписів

  • Підтримка розміру клавіші RSA до 4096 біт

З версією Cisco Unified CM Release 14.0 або новішими телефонами підтримують автентифікацію SIP OAuth.

OAuth підтримується для протоколу Proxy Trivial File Transfer Protocol (TFTP) з версією Cisco Unified CM Release 14.0 (1) SU1 або пізніше.

Для додаткової інформації про безпеку дивіться наступні посібники:

На телефоні може зберігатися лише обмежена кількість файлів Identity Trust List (ITL). ITL-файли не можуть перевищувати 64K на телефоні, тому обмежте кількість файлів, які Cisco Unified CM надсилає на телефон.

Підтримувані функції безпеки

Функції безпеки захищають від різних загроз, зокрема загрози ідентичності телефона й даних. Ці функції встановлюють і підтримують автентифіковані комунікаційні потоки між телефоном і сервером Cisco Unified Communications Manager, а також гарантують, що телефон використовуватиме лише файли з цифровим підписом.

Cisco Unified Communications Manager 8.5(1) і пізніших версій за замовчуванням містить інструменти безпеки, які надають IP-телефону Cisco такі функції безпеки без запуску клієнта CTL:

  • Підписання файлів конфігурації телефона.

  • Шифрування файлів конфігурації телефона.

  • HTTPS із Tomcat та іншими вебсервісами.

Щоб застосовувати функції безпечного передавання сигналів і медіапотоку, все одно потрібно запускати клієнт CTL і використовувати апаратні ключі eToken.

Упровадження інструментів безпеки в системі Cisco Unified Communications Manager запобігає крадіжці ідентичності телефона й сервера Cisco Unified Communications Manager, компрометації даних, а також втручанню в передавання сигналів викликів і медіапотоку.

Щоб знизити ці загрози, мережа IP-телефонії Cisco встановлює та підтримує захищені (зашифровані) комунікаційні потоки між телефоном і сервером, підписує файли цифровим підписом перед їх передаванням на телефон, а також шифрує медіапотоки й передавання сигналів викликів між IP-телефонами Cisco.

Локально значимий сертифікат (LSC) установлюється на телефони після виконання необхідних завдань, пов’язаних із проксі-сервером сертифікаційного центру (CAPF). Ви можете використовувати Cisco Unified Communications Manager Administration для налаштування LSC, як описано в посібнику з безпекиCisco Unified Communications Manager. Альтернативно, ви можете ініціювати встановлення LSC через меню безпеки на телефоні. За допомогою цього меню також можна оновити або видалити LSC.

Телефони використовують профіль захисту телефона, який визначає, чи є пристрій захищеним. Додаткові відомості про застосування до телефона профілю захисту див. в документації до відповідного випуску Cisco Unified Communications Manager.

Якщо в Cisco Unified Communications Manager Administration налаштувати параметри безпеки, файл конфігурації телефона міститиме конфіденційну інформацію. Щоб забезпечити конфіденційність файлу конфігурації, необхідно його зашифрувати. Докладну інформацію див. в документації до відповідного випуску Cisco Unified Communications Manager.

У таблиці нижче наведено огляд функцій безпеки, які підтримуються телефонами. Додаткові відомості див. в документації до відповідного випуску Cisco Unified Communications Manager.

Таблиця 1. Огляд функцій безпеки

Функція

Опис

Автентифікація образів

Підписання бінарних файлів запобігає компрометації образу мікропрограми перед його завантаженням на телефон.

У разі компрометації образу телефон не завершує процес автентифікації та відхиляє новий образ.

Установлення сертифіката сайту клієнта

Кожному IP-телефону Cisco потрібен унікальний сертифікат для автентифікації пристрою. Телефони оснащуються встановленим виробником сертифікатом (MIC), але для додаткової безпеки ви можете задати в Cisco Unified Communications Manager Administration встановлення сертифіката за допомогою проксі-сервера сертифікаційного центру (CAPF). Або ж ви можете встановити Locally Significant Certificate (LSC) з меню безпеки на телефоні.

Автентифікація пристрою

Відбувається між сервером Cisco Unified Communications Manager і телефоном, коли один об’єкт приймає сертифікат іншого об’єкта. Ця функція визначає, чи має відбуватися захищене з’єднання між телефоном і Cisco Unified Communications Manager; якщо так, між об’єктами за допомогою протоколу TLS створюється захищений канал передавання сигналів. Cisco Unified Communications Manager не реєструє телефони, які не може автентифікувати.

Автентифікація файлів

Перевіряє файли з цифровим підписом, які завантажує телефон. Телефон перевіряє підпис, щоб переконатися, що після створення файл не було скомпрометовано. У флеш-пам’ять телефона записуються лише файли, які пройшли автентифікацію. Телефон відхиляє решту файлів без подальшої обробки.

Шифрування файлів

Шифрування запобігає розкриттю конфіденційної інформації під час передавання файлу на телефон. Крім того, телефон перевіряє підпис, щоб переконатися, що після створення файл не було скомпрометовано. У флеш-пам’ять телефона записуються лише файли, які пройшли автентифікацію. Телефон відхиляє решту файлів без подальшої обробки.

Автентифікація передавання сигналів

За допомогою протоколу TLS перевіряється, чи не було скомпрометовано сигнальні пакети під час передавання.

Установлений виробником сертифікат

Кожен IP-телефон Cisco має унікальний установлений виробником сертифікат (MIC), який використовується для автентифікації пристрою. MIC забезпечує постійне унікальне підтвердження ідентифікації телефона й дає Cisco Unified Communications Manager змогу автентифікувати телефон.

Шифрування медіапотоку

Використовує протокол SRTP, щоб забезпечувати захищеність медіапотоків між підтримуваними пристроями, а також отримання та зчитування даних лише потрібним пристроєм. Ця функція передбачає створення для пристроїв пари головних ключів медіапотоку, передавання ключів на пристрої та забезпечення доставки ключів під час транспортування.

Проксі-сервер сертифікаційного центру (CAPF)

Частинами впроваджує процедури створення сертифікатів, які є занадто інтенсивними для обробки телефоном, а також взаємодіє з телефоном для створення ключів і встановлення сертифіката. Ви можете налаштувати, щоб CAPF створював сертифікати локально або запитував сертифікати в заданих клієнтом центрах сертифікації від імені телефона.

Підтримуються як типи клавіш EC (Еліптична крива), так і RSA. Щоб використати ключ EC, переконайтеся, що параметр "Endpoint Advanced Encryption Algorithms Support" (з параметра System > Enterprise) увімкнений.

Для отримання додаткової інформації про CAPF та пов'язані конфігурації дивіться наступні документи:

Профіль безпеки

Визначає, чи телефон є незахищеним, автентифікованим, зашифрованим або захищеним. Решта записів в цій таблиці описують функції безпеки.

Зашифровані файли конфігурації

Дає змогу забезпечити конфіденційність файлів конфігурації телефона.

Додаткове відключення вебсервера для телефона

З міркувань безпеки можна заборонити телефону доступ до порталу самообслуговування та вебсторінок, на яких відображаються різноманітні статистичні дані про роботу телефона.

Посилення захисту телефона

Додаткові параметри безпеки, якими можна керувати в Cisco Unified Communications Manager Administration, а саме:

  • відключення добровільного запиту ARP (GARP);
  • відключення або надання обмеженого доступу до меню налаштувань;
  • Відключення доступу до веб-сторінок адміністрування телефону
  • відключення порту для аксесуарів Bluetooth;
  • обмеження шифрів TLS.

Захищене аварійне перемикання SIP для SRST

Коли ви налаштуєте посилання на відмовостійку телефонію для віддалених офісів (SRST) для функцій безпеки, а потім перезавантажите залежні пристрої в Cisco Unified Communications Manager Administration, сервер TFTP додасть сертифікат SRST до файлу cnf.xml телефона й надішле файл на телефон. Після цього захищений телефон використовуватиме з’єднання з TLS для взаємодії з маршрутизатором, який підтримує SRST.

Шифрування передавання сигналів

Забезпечує шифрування всіх сигнальних повідомлень SIP, які передаються між пристроєм і сервером Cisco Unified Communications Manager.

Оповіщення про оновлення списку довіри

Коли список довіри оновлюється на телефоні, Cisco Unified Communications Manager отримує оповіщення про успішне або невдале оновлення. Додаткові відомості див. в наведеній нижче таблиці.

Шифрування AES 256

У разі підключення до Cisco Unified Communications Manager 10.5(2) і пізніших версій телефони підтримують шифрування AES 256 для TLS і SIP, щоб шифрувати передавання сигналів і медіапотоку. Завдяки цьому телефони можуть ініціювати й підтримувати з’єднання TLS 1.2 за рахунок шифрів на основі AES-256, які відповідають стандартам SHA-2 (алгоритм безпечного хешування) і FIPS (федеральні стандарти обробки інформації). Нижче наведено відповідні шифри.

  • Для з’єднань TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Для sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Для отримання додаткової інформації дивіться документацію Cisco Unified Communications Manager.

Сертифікати алгоритму цифрового підпису з використанням еліптичної кривої (ECDSA)

У рамках сертифікації за загальними критеріями (CC) у Cisco Unified Communications Manager версії 11.0 було додано сертифікати ECDSA. Це стосується всіх продуктів голосової операційної системи (VOS), які працюють у CUCM 11.5 і пізніших версій.

Багатосерверний (SAN) сертифікат Tomcat з номером Cisco UCM

Телефон підтримує Cisco UCM з налаштованими багатосерверними (SAN) сертифікатами Tomcat. Правильну адресу сервера TFTP можна знайти у файлі ITL телефону для реєстрації телефону.

Для отримання додаткової інформації про цю функцію дивіться наступне:

У таблиці нижче наведено оповіщення про оновлення списку довіри та їх значення. Для отримання додаткової інформації дивіться документацію Cisco Unified Communications Manager.

Таблиця 2. Оповіщення про оновлення списку довіри
Код і повідомлення Опис

1. TL_SUCCESS

Отримано новий список CTL та/або ITL.

2. CTL_INITIAL_SUCCESS

Отримано новий список CTL. Інших списків довіри немає.

3. ITL_INITIAL_SUCCESS

Отримано новий список ITL. Інших списків довіри немає.

4. TL_INITIAL_SUCCESS

Отримано нові списки CTL та ITL. Інших списків довіри немає.

5. TL_FAILED_OLD_CTL

Помилка переходу на новий список CTL. Є старий список довіри.

6. TL_FAILED_NO_TL

Помилка переходу на новий список довіри. Старих списків довіри немає.

7. TL_FAILED

Загальна помилка.

8. TL_FAILED_OLD_ITL

Помилка переходу на новий список ITL. Є старий список довіри.

9. TL_FAILED_OLD_TL

Помилка переходу на новий список довіри. Є старий список довіри.

Безпека телефонних викликів

Якщо для телефона впроваджено інструменти безпеки, ви можете розпізнавати безпечні телефонні виклики за значками на екрані телефона. Ви також можете визначити, що підключений телефон є захищеним, якщо на початку виклику пролунає сигнал захисту.

Під час захищеного виклику всі передавання сигналів викликів і медіапотоки шифруються. Захищений виклик пропонує високий рівень безпеки, який гарантує цілісність і конфіденційність виклику. Коли дзвінок зашифрований, ви можете побачити іконку захищеного Іконка безпечного дзвінка 9821 На лінії.

  • Виклик, маршрутизований через гілки викликів, які не належать до IP-мережі, наприклад ТМЗК, може бути незахищеним, навіть якщо він зашифрований в IP-мережі й показує пов’язаний із ним значок замка.

  • Захищені виклики підтримують лише з’єднання між двома телефонами. Коли ввімкнено захищені виклики, деякі функції, як-от конференц-виклики та спільні лінії, недоступні.

У Cisco Unified Communications Manager телефони, налаштовані як захищені (зашифровані та довірені), можуть отримати захищений статус. Після захисту ці пристрої можна налаштувати на відтворення сигналу безпеки на початку кожного дзвінка.

  • Захищений пристрій:

    Щоб змінити статус захищеного телефону на захищений:

    1. У Cisco Unified Communications Manager Administration виберіть Device > Phone.
    2. Знайдіть телефон, який ви збираєтеся встановити.
    3. У вікні налаштування телефону виберіть галочку «Захищений пристрій ».
    4. Натисніть Зберегти.
  • Відтворити Безпечний сигнал індикації:

    Щоб захищений телефон міг відтворювати захищений або незахищений сигнал сигналу:

    1. У Cisco Unified Communications Manager Administration виберіть Параметри системи >сервісу.
    2. Виберіть сервер, а потім сервіс Cisco CallManager .
    3. У кластерній зоні параметрів кластера (Feature - Secure Tone) встановіть тон відтворення так, щоб статус захищеного/незахищеного дзвінка став true.
    4. Натисніть Зберегти.

Безпечна ідентифікація конференц-дзвінка

Ви можете ініціювати захищений конференц-виклик і контролювати рівень захисту учасників. Захищений конференц-виклик налаштовується таким чином:

  1. Користувач ініціює конференцію на захищеному телефоні.

  2. Cisco Unified Communications Manager призначає виклику захищений конференц-міст.

  3. Коли до виклику додаються учасники, Cisco Unified Communications Manager перевіряє режим безпеки кожного телефона й підтримує рівень захисту конференції.

  4. На телефоні відображається рівень захисту конференц-виклику. Захищена конференція відображає іконку захищеної Іконка безпечного дзвінка 9821.

Захищений виклик підтримується між двома телефонами. Коли налаштовано захищені виклики, деякі функції телефона, як-от конференц-зв’язок, спільні лінії та Extension Mobility, недоступні.

У таблиці нижче наведено інформацію про зміни рівнів захисту конференції залежно від рівня захисту телефона ініціатора виклику, рівня захисту учасників і наявності захищених конференц-мостів.

Таблиця 3. Обмеження безпеки під час проведення конференц-викликів

Рівень захисту телефона ініціатора виклику

Використовувана функція

Рівень захисту учасників

Результати дії

Незахищений

Проведення конференцій

Захищений

Незахищений конференц-міст

Незахищена конференція

Захищений

Проведення конференцій

Щонайменше один учасник незахищений.

Захищений конференц-міст

Незахищена конференція

Захищений

Проведення конференцій

Захищений

Захищений конференц-міст

Захищена шифруванням конференція

Незахищений

Meet Me

Мінімальний рівень захисту встановлено на значення Encrypted (Зашифрований)

Ініціатор отримує тон для перепорядку.

Захищений

Meet Me

Мінімальний рівень захисту встановлено на значення Non Secure (Незахищений)

Захищений конференц-міст

Конференція приймає всі виклики

Ідентифікація захищеного телефонного виклику

Захищений виклик здійснюється, коли ваш телефон і телефон на іншому кінці налаштовуються на захищений виклик. Інший телефон може перебувати в тій самій IP-мережі Cisco або в мережі за її межами. Захищені виклики можна здійснювати лише між двома телефонами. Конференц-виклики мають підтримувати захищені виклики після того, як буде налаштовано захищений конференц-міст.

Захищений виклик налаштовується таким чином:

  1. Користувач ініціює виклик на захищеному телефоні (режим безпеки – захищений).

  2. Телефон показує іконку захисту Іконка безпечного дзвінка 9821 на екрані телефону. Цей значок вказує на те, що ваш телефон налаштований на захищені виклики, що, однак, не гарантує захищеність іншого підключеного телефона.

  3. Якщо виклик з’єднується з іншим захищеним телефоном, користувач почує сигнал захисту, який вказує на те, що обидва кінці розмови зашифровані й захищені. Якщо виклик з’єднується з незахищеним телефоном, користувач не почує сигналу захисту.

Захищений виклик підтримується між двома телефонами. Коли налаштовано захищені виклики, деякі функції телефона, як-от конференц-зв’язок, спільні лінії та Extension Mobility, недоступні.

Лише захищені телефони відтворюють ці сигнали індикації захищеності або незахищеності. Незахищені телефони ніколи не відтворюють сигнали. У разі зміни загального стану поточного виклику сигнал індикації зміниться та відтвориться на захищеному телефоні.

Коли тон відтворення, що вказує на статус безпечного/незахищеного дзвінка, встановлено на True:

  • Якщо медіапотік з обох кінців захищено та стан виклику – захищений, телефон відтворює сигнал індикації захищеності (три довгих гудка з паузами).

  • Якщо медіапотік з обох кінців захищено та стан виклику – незахищений, телефон відтворює сигнал індикації незахищеності (шість довгих гудків із короткими паузами).

Якщо опція «Відтворення тону», що вказує на статус безпечного/незахищеного дзвінка , встановлена на «Хибно», тон не відтворюється.

Забезпечити шифрування баржі

Cisco Unified Communications Manager перевіряє статус безпеки телефону під час встановлення конференцій і змінює індикацію безпеки для конференції або блокує завершення дзвінка для підтримки цілісності та безпеки системи.

Користувач не може вломитися у зашифрований дзвінок, якщо телефон, з якого використовується для вторгнення, не налаштований на шифрування. Коли баржа в цьому випадку не справляється, на телефоні звучить сигнал перерозподілу (швидкий зайнятий) про те, що баржа була ініційована.

Якщо ініціаторський телефон налаштований на шифрування, ініціатор баржі може вломитися у незахищений дзвінок із зашифрованого телефону. Після завершення баржі Cisco Unified Communications Manager класифікує дзвінок як незахищений.

Якщо ініціаторський телефон налаштований на шифрування, ініціатор баржі може вломитися у зашифрований дзвінок, і телефон вказує, що дзвінок зашифрований.

Безпека бездротової локальної мережі

Оскільки всі пристрої WLAN у межах досяжності можуть приймати будь-який інший трафік WLAN, захист голосового зв’язку у WLAN має вирішальне значення. Щоб гарантувати, що зловмисники не маніпулюють і не перехоплюють голосовий трафік, архітектура Cisco SAFE Security підтримує цей телефон. Для отримання додаткової інформації про безпеку в мережах див. http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Рішення для телефонії Cisco Wireless IP забезпечує бездротову мережеву безпеку, яка запобігає несанкціонованим входам і компрометам комунікації, використовуючи такі методи автентифікації, які підтримує телефон.

  • Відкрита автентифікація. Будь-який бездротовий пристрій може подати запит на автентифікацію у відкритій системі. Точка доступу, яка отримує запит, може надавати автентифікацію будь-якому запитувачу або тільки запитувачам зі списку користувачів. Зв'язок між бездротовим пристроєм і точкою доступу (AP) міг бути незашифрованим.

  • Розширений протокол автентифікації — гнучка автентифікація через безпечне тунелювання (EAP-FAST): Ця клієнт-серверна архітектура безпеки шифрує EAP транзакції в тунелі безпеки транспортного рівня (TLS) між точкою доступу та сервером RADIUS, наприклад, Identity Services Engine (ISE).

    Тунель TLS використовує захищені облікові дані доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає клієнту (телефону) ідентифікатор центру сертифікації (AID), який у свою чергу вибирає відповідні облікові дані PAC. Клієнт (телефон) повертає на сервер RADIUS повідомлення PAC-Opaque. Сервер розшифровує PAC за допомогою головного ключа. Обидва кінцеві пристрої тепер містять ключ PAC. Також створюється тунель TLS. EAP-FAST підтримує автоматичне надсилання PAC, але цю функцію потрібно ввімкнути на сервері RADIUS.

    У ISE за замовчуванням PAC закінчується через тиждень. Якщо на телефоні закінчився термін дії PAC, автентифікація на сервері RADIUS займатиме більше часу, доки телефон не отримає нові облікові дані PAC. Щоб уникнути затримок у надсиланні даних PAC, установіть на сервері ISE або RADIUS термін дії PAC принаймні 90 днів.

  • Розширюваний протокол автентифікації з протоколом безпеки транспортного рівня (EAP-TLS). Для автентифікації та доступу до мережі за допомогою EAP-TLS потрібен сертифікат клієнта. Для бездротового EAP-TLS клієнтський сертифікат може бути MIC, LSC, або сертифікат, встановлений користувачем.

  • Захищений розширюваний протокол автентифікації (PEAP). Розроблена Cisco схема взаємної автентифікації на основі пароля між клієнтом (телефоном) і сервером RADIUS. Телефон може використовувати PEAP для автентифікації через бездротову мережу. Підтримуються обидва методи автентифікації – PEAP-MSCHAPV2 й PEAP-GTC.

  • Попередній спільний ключ (PSK): Телефон підтримує формати ASCII та шістнадцятковий (HEX). Ви повинні використовувати ці формати при налаштуванні WPA2/SAE Pre-shared ключа.

    ASCII: рядок ASCII-символів довжиною від 8 до 63 символів (0-9, малі a-z, великі A-Z та спеціальні символи). Наприклад, GREG123567@9ZX&W.

    HEX: Шестигранний рядок символів довжиною 64 шістнадцятка (0-9, a-f або A-F).

Нижче наведено схеми автентифікації, які використовують керування ключами автентифікації сервер RADIUS.

  • WPA2/WPA3 – використовує інформацію про сервер RADIUS для створення унікальних ключів автентифікації. Ці ключі створюються на централізованому сервері RADIUS, тому WPA2/WPA3 забезпечує кращий захист, ніж заздалегідь установлені ключі WPA, які зберігаються в AP й на телефоні.

  • Швидкий безпечний роумінг – використовує інформацію про сервер RADIUS і сервер бездротового домену (WDS) для контролю та автентифікації ключів. WDS створює кеш облікових даних безпеки для клієнтських пристроїв з підтримкою FT для швидкої та безпечної повторної автентифікації.

У WPA2/WPA3 ключі шифрування не вводяться на телефоні, а автоматично отримуються між точкою доступу та телефоном. Однак ім’я користувача й пароль EAP, які використовуються для автентифікації, потрібно ввести на кожному з телефонів.

Для захисту голосового трафіку через бездротове з'єднання телефон підтримує шифрування на основі AES для автентифікації WPA2/WPA3. AES — це симетричний блочний шифр, стандартизований NIST. AES використовує фіксований 128-бітний розмір блоку і підтримує розміри ключів 128, 192 біти та 256 біт. У мережах Wi-Fi AES використовується наборами шифрів, такими як CCMP або GCMP, а автентифікація надається окремо через PSK, SAE або 802.1X/EAP, залежно від налаштованого режиму безпеки WLAN. Підтримуваний набор шифрів і розмір ключа залежать від моделі телефону та конфігурації WLAN.

Коли телефон використовує шифрування AES, як пакети сигналізації SIP, так і голосові пакети Real-Time Transport Protocol (RTP) шифруються між точкою доступу та телефоном.

Схеми автентифікації та шифрування налаштовуються в межах бездротової локальної мережі. Мережі VLAN налаштовуються в мережі й точках доступу, задаючи різні комбінації автентифікації та шифрування. SSID прив’язується до VLAN й особливої схеми автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв необхідно налаштувати ті ж SSID з їхніми схемами автентифікації та шифрування на точках доступу та телефоні.

Деякі схеми автентифікації вимагають конкретних типів шифрування.

Коли ви використовуєте WPA2 попередній спільний ключ або SAE, передрозділений ключ має бути статично встановлений на телефоні. Ці ключі мають відповідати ключам в AP.

Схеми автентифікації та шифрування у наступній таблиці показують опції конфігурації мережі для Cisco Wireless Phone 9821, що відповідає конфігурації точки доступу.

Таблиця 4. Схеми автентифікації та шифрування
FSR ТипАвтентифікаціяКерування ключамиШифруванняЗахищена рамка управління (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНі
802.11r (FT)WPA3

SAE

FT-SAE

AESТак
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESНі
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESТак
не-FTSuite-BWPA-EAP-SUITE-BGCMPТак
не-FTЛюкс-B-192WPA-EAP-SUITE-B-192GCMPТак

Створіть профіль Wi-Fi

Ви можете налаштувати профіль Wi-Fi і призначити його на Cisco Wireless Phone 9821. Цей профіль містить необхідні параметри для встановлення Wi-Fi з'єднання та подальшої реєстрації Cisco Unified CM. Коли ви створюєте та використовуєте профіль Wi-Fi, вам або вашим користувачам не потрібно налаштовувати бездротову мережу для окремих телефонів.

Рекомендуємо використовувати захищений профіль Wi-Fi із шифруванням TFTP, щоб захистити ключі й паролі.

Телефони підтримують один серверний сертифікат на кожен спосіб встановлення (ручний, SCEP або TFTP).

Перш ніж налаштовувати профіль WLAN, пам’ятайте про таке:

  • Ім’я користувача й пароль

    • Коли для автентифікації користувачів ваша мережа використовує EAP-FAST й PEAP, ви повинні зареєструвати ім’я користувача й пароль, якщо це вимагається на сервері RADIUS і телефоні.

    • Облікові дані, введені в профілі бездротової локальної мережі, мають збігатися з обліковими даними, зареєстрованими на сервері RADIUS.
    • Якщо ви використовуєте домени в межах своєї мережі, то введіть ім’я користувача й домену у форматі: домен\ім’я_користувача.

  • Нижче наведено дії, які можуть призвести до видалення наявного пароля Wi-Fi.

    • Введення неприпустимого ідентифікатора користувача або пароля.
    • Установлення неприпустимого або недійсного кореневого сертифіката ЦС, коли для типу EAP задано значення PEAP-MSCHAPV2 або PEAP-GTC
    • Відключення на сервері RADIUS поточного типу EAP без попереднього перемикання телефона на новий тип EAP.
  • Щоб змінити тип EAP, спершу переконайтеся, що ви ввімкнули новий тип EAP на сервері RADIUS, а потім переключіть на нього телефон. Коли всі телефони буде переведено на новий тип EAP, ви зможете за бажанням вимкнути старий тип EAP.
1

У Cisco Unified Communications Manager Administration виберіть Device (Пристрій) > Device Settings (Налаштування пристрою) > Wireless LAN Profile (Профіль бездротової локальної мережі).

2

Натисніть Add New (Додати новий).

3

У розділі Wireless LAN Profile Information встановіть параметри:

  • Ім'я — Введіть унікальне ім'я для профілю Wi-Fi. Це ім’я відображається на телефоні.

  • Опис — Введіть опис профілю Wi-Fi, щоб допомогти вам відрізнити цей профіль від інших профілів Wi-Fi.

  • Модифікація користувача — Виберіть опцію:

    • Дозволено — Означає, що користувач може змінювати налаштування Wi-Fi зі свого телефону. Ця опція вибрана за замовчуванням.

    • Заборонено — Означає, що користувач не може змінювати налаштування Wi-Fi на своєму телефоні.

    • Обмежено — Означає, що користувач може змінити ім'я користувача Wi-Fi та пароль на своєму телефоні. Але користувачам не дозволено змінювати інші налаштування Wi-Fi на телефоні. Коли ваша мережа використовує EAP-TLS для автентифікації користувача, користувач може обрати тип сертифіката (MIC, LSC або встановлений користувачем).

4

У розділі Бездротових налаштувань встановіть параметри:

  • SSID (Назва мережі) — Введіть ім'я мережі, доступне в користувацькому середовищі, до якого можна підключити телефон. Це ім'я відображається у списку доступних мереж на телефоні, і телефон може підключатися до цієї бездротової мережі.

  • Частотний діапазон — доступні варіанти: Auto, 2.4 GHz та 5 GHz. Це поле визначає частотний діапазон, який використовує бездротове з'єднання. Якщо вибрати Auto, телефон спочатку намагається використовувати діапазон 5 ГГц або 6 ГГц, а 2.4 ГГц — лише тоді, коли 5 ГГц або 6 ГГц недоступні.

5

У розділі Налаштування автентифікації встановіть метод автентифікації на один із таких методів: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK та None.

Cisco Бездротовий телефон 9821 не підтримує WEP.

Після встановлення цього поля ви можете побачити додаткові поля, які потрібно встановити.

  • Сертифікат користувача — Потрібен для автентифікації EAP-TLS. Виберіть MIC, LSC або встановлено користувачем. Телефон вимагає встановлення сертифіката, який здійснюється автоматично від SCEP або вручну зі сторінки адміністрування на телефоні.

  • Пароль PSK — Потрібен для автентифікації PSK. Вводьте парольну фразу з 8-63 символами ASCII або 64 HEX.

  • Надайте спільні облікові дані: Потрібні для автентифікації EAP-FAST, PEAP-MSCHAPv2 та PEAP-GTC.

    • Якщо користувач керує ім'ям користувача та паролем, поля Ім'я користувача та Пароль залишаються порожніми.

    • Якщо всі ваші користувачі мають однакове ім'я користувача та пароль, ви можете ввести цю інформацію у поля Ім'я користувача та Пароль .

    • Введіть опис у поле «Опис пароля».

    Якщо потрібно призначити кожному користувачу унікальне ім'я користувача та пароль, потрібно створити профіль для кожного користувача.

Cisco Бездротовий телефон 9821 не підтримує поле Network Access Profile.

6

Натисніть Зберегти.

Подальші дії

Прив'яжіть профіль бездротової локальної мережі до групи профілів WLAN, а потім застосовуйте групу профілю WLAN до пулу пристроїв (System>Device Pool) або безпосередньо до телефону ( Device >Phone).

Встановіть сертифікат користувача з веб-сторінки адміністрування телефону

Ви можете вручну встановити Сертифікат користувача на телефон, якщо Simple Certificate Enrollment Protocol (SCEP) недоступний.

Попередньо встановлений Сертифікат встановленого виробництва (MIC) може використовуватися як Сертифікат користувача для EAP-TLS.

Після встановлення Сертифіката користувача потрібно додати ланцюжок CA, який видав Сертифікат користувача, до списку довіри сервера RADIUS.

Перш ніж почати

Щоб установити сертифікат користувача на телефон, у вас має бути:

  • Збережений на ПК сертифікат користувача у форматі PKCS#12.

  • Пароль для витягування сертифіката. Довжина пароля не повинна перевищувати 32 символи.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть поле User installed (Установлені користувачем) і натисніть Install (Установити).

3

Перейдіть до сертифіката на ПК.

4

У полі Extract password (Пароль для розпакування) введіть пароль для розпакування сертифіката.

5

Натисніть Upload (Завантажити).

6

Перезапустіть телефон після завантаження.

Встановіть сервер автентифікації CA з веб-сторінки адміністрування телефону

Ви можете вручну встановити CA сервера автентифікації на телефон, якщо Simple Certificate Enrollment Protocol (SCEP) недоступний.

Кореневий сертифікат CA, який видав сертифікат сервера RADIUS, має бути встановлений.

Перш ніж почати

Перед тим, як встановити сертифікат на телефон, на вашому ПК має бути збережений CA сервера автентифікації. Сертифікат має бути закодовано згідно з PEM (Base-64) або DER.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть поле Authentication server CA (ЦС сервера автентифікації) і натисніть Install (Установити).

3

Перейдіть до сертифіката на ПК.

4

Натисніть Upload (Завантажити).

5

Перезапустіть телефон після завантаження.

Ручно видаліть сертифікат безпеки зі сторінки адміністрування телефону

Якщо простий протокол реєстрації сертифікатів (SCEP) недоступний, сертифікат безпеки можна видалити з телефона вручну.

1

На вебсторінці адміністрування телефона виберіть Certificates (Сертифікати).

2

Знайдіть на сторінці Certificates (Сертифікати) потрібний сертифікат.

3

Натисніть Видалити.

4

Перезапустіть телефон після завершення видалення.

Налаштуйте SCEP

Simple Certificate Enrollment Protocol (SCEP) є стандартом для автоматичного надання та поновлення сертифікатів. Це дозволяє уникнути ручного встановлення сертифікатів на ваші телефони.

Активуйте специфічні параметри конфігурації продукту SCEP

Ви повинні налаштувати наступні параметри SCEP на Cisco Unified Communications Manager (Unified CM).

  • RA IP адреса або ім'я хоста

  • Відбиток кореневого сертифіката ЦС за SHA-1 або SHA-256 для сервера SCEP.

Центр реєстрації Cisco IOS слугує проксі-сервером для SCEP. Клієнт SCEP на телефоні використовує параметри, які завантажуються з Cisco Unified CM. Після налаштування параметрів телефон надсилає запит SCEP getcs до RA, і кореневий сертифікат CA перевіряється за визначеним відбитком.

1

З Cisco Unified Communications Manager Administration виберіть Device > Phone.

2

Знайдіть потрібний телефон.

3

Прокрутіть до розділу Product Specific Configuration Layout (Схема конфігурації залежно від продукту).

4

Виберіть галочку WLAN SCEP Server , щоб активувати параметр SCEP.

5

Виберіть галочку WLAN Root CA Fingerprint (SHA256 або SHA1 ), щоб активувати параметр SCEP QED.

Підтримка сервера SCEP

Якщо ви використовуєте сервер Simple Certificate Enrollment Protocol (SCEP), сервер може автоматично підтримувати ваші сертифікати користувача та сервера. Налаштуйте центр реєстрації SCEP на сервері SCEP, щоб він:

  • Виконував роль ключа довіри PKI.

  • Виконував роль центру реєстрації PKI.

  • Виконував автентифікацію пристрою за допомогою сервера RADIUS.

Додаткові відомості див. в документації до сервера SCEP.

Налаштування локально значимого сертифіката (LSC)

Існує кілька способів встановити LSC. Цей приклад завдання застосовується до налаштування LSC з методом автентифікаційного рядка на Cisco Wireless Phone 9821.

Перш ніж почати

Переконайтеся, що відповідні конфігурації безпеки Cisco Unified CM та certificate authority proxy function (CAPF) виконані.

  • чи є у файла CTL або ITL сертифікат CAPF;

  • чи встановлено сертифікат CAPF (це можна перевірити в Cisco Unified Communications Operating System Administration);

  • чи запущено й налаштовано проксі-сервер CAPF.

Для отримання додаткової інформації про ці налаштування дивіться документацію вашого конкретного релізу Cisco Unified CM.

1

Отримайте рядок автентифікації CAPF, який був встановлений при конфігурації CAPF.

2

На телефоні відкрийте Налаштування 9821 Settings app icon Додаток.

3

Виберіть налаштування адміністратора > Конфігурація системи> Безпека > LSC.

4

Введіть рядок автентифікації.

5

Натисніть більше 9821 More button і виберіть Подати (Submit Submit).

Залежно від налаштувань CAPF телефон розпочинає встановлення, оновлення або видалення LSC. Після завершення процедури на телефоні відображається напис Installed (Установлено) або Not Installed (Не встановлено).

Процес установлення, оновлення або видалення LSC може зайняти багато часу.

Після завершення процедури встановлення телефона відобразиться повідомлення Installed (Установлено). Якщо на телефоні відображається напис Not Installed (Не встановлено), можливо, рядок авторизації виявився неправильним або оновлення телефона не було ввімкнено. Якщо CAPF видалить LSC, на телефоні відобразиться напис Not Installed (Не встановлено), що вказує на успішність операції. Сервер CAPF записує повідомлення про помилки. Перегляньте документацію до сервера CAPF, щоб знайти журнали та дізнатися про значення повідомлень про помилки.

Автентифікація 802.1X для дротових мереж

Cisco Бездротовий телефон 9821 підтримує автентифікацію 802.1X для дротових мереж. Зазвичай це використовується під час автоматичного налаштування , коли телефон підключений до зарядного пристрою через підтримуваний USB-to-Ethernet адаптер.

Підтримка автентифікації 802.1X у дротових мережах вимагає кількох компонентів, а саме:

  • IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

  • Сервер автентифікації: Сервер автентифікації та комутатор мають бути налаштовані з спільним секретом RADIUS.

  • Комутатор: Комутатор повинен підтримувати 802.1X, щоб виконувати роль автентифікатора та передавати повідомлення EAP між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію.

Щоб налаштувати 802.1X:

  • Налаштуйте CDP/LLDP голос VLAN обхід.

  • Налаштуйте сервер автентифікації та комутатор перед тим, як увімкнути автентифікацію 802.1X для дротових мереж на телефоні.

  • Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.

    • Увімкнено: Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, ви можете налаштувати його на використання голосу VLAN.
    • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
  • Cisco Бездротовий телефон 9821 має інший префікс у PID, ніж у інших Cisco телефонів. Щоб дозволити телефону пройти автентифікацію 802.1X, встановіть радіус· Параметр імені користувача , щоб включити ваш Cisco Wireless Phone 9821.

    Наприклад, PID бездротового телефону Cisco 9821 — WP-9821. Ви можете встановити радіус· Ім'я користувача починається з WP або містить WP у обох наступних розділах:

    • Політика > Умови > Умови бібліотеки

    • Політики > Набори політик> Політика авторизації> Правило авторизації 1

Увімкніть автентифікацію 802.1X для дротових мереж на вашому телефоні

Дотримуйтесь цих кроків, щоб увімкнути автентифікацію 802.1X для дротових мереж на вашому телефоні. Зверніть увагу, що автентифікація 802.1X для Wi-Fi увімкнена за замовчуванням і не потребує ручного налаштування.

1

Доступ до налаштувань 9821 Settings app icon Додаток.

2

Якщо запитають, введіть пароль, щоб перейти до меню Налаштувань . Пароль можна отримати у свого адміністратора.

3

Виберіть налаштування адміністратора > Налаштування безпеки> 802.1X Аутентифікація.

4

Виділіть автентифікацію пристрою і натисніть On.

Увімкнути автентифікацію 802.1X для дротових мереж у Cisco Unified Communications Manager Administration

Дотримуйтесь цих кроків, щоб увімкнути автентифікацію 802.1X для дротових мереж на Cisco Unified CM. Зверніть увагу, що автентифікація 802.1X для Wi-Fi увімкнена за замовчуванням і не потребує ручного налаштування.

Ви можете переглянути статус транзакції та налаштування безпеки у меню екрану телефону. Для отримання додаткової інформації дивіться у меню налаштувань безпеки на телефоні.

1

У Cisco Unified Communications Manager Administration виберіть Device > Phone.

2

Знайдіть телефон, який ви збираєтеся встановити.

3

Перейдіть до розділу Product Specific Configuration Layout .

4

Виберіть Увімкнено у випадаючому меню 802.1x Authentication .

При налаштуванні на Увімкнено або Вимкнено опція аутентифікації пристрою на Cisco Wireless Phone 9821 стає лише для читання, що не дозволяє користувачам змінювати налаштування автентифікації 802.1X.

5

Виберіть Зберегти.

6

Виберіть Apply Config (Застосувати конфігурацію).

Меню налаштувань безпеки на телефоні

Щоб переглянути інформацію про налаштування безпеки з меню телефону, перейдіть до розділу Налаштування 9821 Settings app icon і виберіть налаштування адміністратора > налаштування безпеки > 802.1X автентифікації. Доступність інформації залежить від мережевих налаштувань у вашій організації.

параметри;

Варіанти

За замовчуванням

Опис

Автентифікація пристрою

Увімк.

Вимк.

Вимк.

Вмикає або вимикає автентифікацію 802.1X на телефоні.

Параметри можна зберігати після реєстрації телефону Out-Of-Box (OOB).

Стан транзакції

Вимкнуто

Відображає стан автентифікації 802.1X. Штат може бути (не обмежуючись):

  • Автентифікація — Означає, що процес автентифікації триває.
  • Автентифіковано — Означає, що телефон автентифікований.
  • Вимкнено — Означає, що автентифікація 802.1x вимкнена на телефоні.
  • Підключення — Означає, що телефон надсилає повідомлення EAP старту комутатору кожні 30 секунд.
  • Отримано — Означає, що комутатор відхилив запит EAP телефону, і телефон не отримує виклику EAP-TLS або EAP-FAST від комутатора. Телефон знову намагається надіслати запити EAP.
  • Відключено — Означає, що кабель Ethernet від'єднаний.
  • Утримано — Означає, що комутатор обробив запит EAP телефону, але відхилив автентифікацію EAP-FAST або EAP-TLS. Телефон знову намагається надіслати запити EAP.

Протокол

Немає

Відображає метод EAP, який використовується для автентифікації 802.1X. Протокол може бути EAP-FAST або EAP-TLS.

Налаштуйте підтримувані версії TLS

Ви можете налаштувати мінімальну версію TLS, необхідну для клієнта та сервера відповідно.

За замовчуванням мінімальна версія TLS сервера і клієнта — це обидва варіанти 1.2. Сетинг впливає на такі функції:

  • Підключення до веб-доступу HTTPS
  • Адаптація для телефону на місці
  • HTTPS-сервіси, такі як сервіси каталогу
  • Безпека транспортного рівня датаграм (DTLS)
  • Суб'єкт доступу до порту (PAE)
  • Розширений протокол автентифікації — безпека транспортного рівня (EAP-TLS)

Для отримання додаткової інформації про сумісність TLS 1.3 для Cisco IP Phones див. матрицю сумісності TLS 1.3 для продуктів співпраці Cisco.

1

У Cisco Unified Communications Manager Administration виконайте одну з наступних дій за потреби:

  • Щоб налаштувати всі розгорнуті телефони, перейдіть до System > Enterprise Phone Configuration.
  • Щоб налаштувати телефони з однаковим профілем, перейдіть у розділ Налаштування > пристрою > Загальний профіль телефону.
  • Щоб налаштувати окремий телефон, перейдіть у розділ Device > Phone. Потім знайдіть свій телефон і відкрийте сторінку конфігурації телефону.

Конфігурація має ієрархічну структуру:

  • Індивідуальні налаштування пристрою мають пріоритет над налаштуваннями у загальному профілі телефону та на корпоративному рівні
  • Загальні налаштування профілю телефону змінюють корпоративні налаштування

2

Налаштуйте поле TLS Client Min Version :

Опція TLS 1.3 доступна на Cisco Unified CM 15SU2 або пізніше.

  • TLS 1.1: Клієнт TLS підтримує версії TLS з 1.1 по 1.3.

    Якщо версія TLS на сервері нижча за 1.1, наприклад, 1.0, то з'єднання не можна встановити.

  • TLS 1.2 (за замовчуванням): Клієнт TLS підтримує TLS 1.2 та 1.3.

    Якщо версія TLS на сервері нижча за 1.2, наприклад, 1.1 або 1.0, то з'єднання не можна встановити.

  • TLS 1.3: Клієнт TLS підтримує лише TLS 1.3.

    Якщо версія TLS на сервері нижча за 1.3, наприклад, 1.2, 1.1 або 1.0, то з'єднання не можна встановити.

3

Налаштуйте поле версії мінуTLS сервера :

  • TLS 1.1: Сервер TLS підтримує версії TLS з 1.1 по 1.3.

    Якщо версія TLS у клієнті нижча за 1.1, наприклад, 1.0, то з'єднання не можна встановити.

  • TLS 1.2 (за замовчуванням): Сервер TLS підтримує TLS 1.2 та 1.3.

    Якщо версія TLS у клієнті нижча за 1.2, наприклад, 1.1 або 1.0, то з'єднання не можна встановити.

  • TLS 1.3: Сервер TLS підтримує лише TLS 1.3.

    Якщо версія TLS у клієнті нижча за 1.3, наприклад, 1.2, 1.1 або 1.0, то з'єднання не можна встановити.

4

Натисніть Зберегти.

5

Натисніть Apply Config.

6

Перезавантажте телефони.

TURN вимкнено гучний зв'язок і гарнітуру на Cisco Бездротовий телефон 9821

У вас є опція назавжди TURN вимкнути гучний зв'язок і гарнітуру на бездротовому телефоні Cisco 9821 для вашого користувача. Вимкнення цих аудіовиходів гарантує, що розмови не почують інші поруч, що важливо у спільному або відкритому офісі.

1

У Cisco Unified Communications Manager Administration виберіть Device > Phone.

2

Знайдіть телефон, який ви збираєтеся встановити.

3

Перейдіть до розділу Product Specific Configuration Layout .

4

Поставте галочку одну або кілька з наступних галочок, щоб TURN вимкнути можливості телефону:

  • Вимкніть гучний зв'язок
  • Вимкніть гучний зв'язок і гарнітуру

За замовчуванням ці галочки не встановлені.

5

Виберіть Зберегти.

6

Виберіть Apply Config (Застосувати конфігурацію).

Чи була ця стаття корисною?
Чи була ця стаття корисною?