Cisco IP сигурност на телефона на 9800/8875 (мултиплатформен)

Сертификатът на устройството може да се обновява автоматично от SCEP процеса.

• Телефонът проверява дали сертификатът ще изтече след 15 дни на всеки 4 часа. Ако е така, телефонът автоматично стартира процеса на подновяване на сертификата.
• Ако паролата за проверка е празна, телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификата. Ако е конфигурирана паролата за проверка, тя се използва само за първоначално записване, а съществуващият/инсталиран сертификат се използва за подновяване на сертификата.
• Телефонът не премахва стария сертификат на устройството, докато не извлече новия.
• Ако подновяването на сертификата е неуспешно, защото сертификатът на устройството или CA изтече, телефонът автоматично задейства първоначалното записване. Междувременно, ако удостоверяването с парола за проверка е неуспешно, на екрана на телефона се появява екран за въвеждане на парола и потребителите биват подканени да въведат паролата за проверка на телефона.

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

• Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

• Сървър за удостоверяване: Сървърът за удостоверяване и комутаторът трябва да бъдат конфигурирани със споделена тайна, която удостоверява телефона.

• Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

• Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

• Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

  • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

    За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

• Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
  • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
  • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
• (Само за настолни телефони Cisco 9800 Series)

  Cisco Desk Phone 9800 Series има различен префикс в PID от този за другите телефони Cisco. За да позволите на телефона си да премине 802.1X удостоверяване, задайте Радиус· Параметър потребителско име , за да включите вашия настолен телефон Cisco 9800 Series.

  Например, PID на телефон 9841 е DP-9841; можете да зададете Радиус· Потребителско име за започване с DP или съдържа DP. Можете да го зададете и в двата от следните раздели:

  • Политика > Условия > Библиотечни условия

  • Правила > Правила за набори от правила> Правила за упълномощаване> Правило 1 за упълномощаване

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че натрапниците не манипулират или прихващат гласовия трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решението за безжична IP телефония на Cisco осигурява сигурност на безжичната мрежа, която предотвратява неоторизирани влизания и компрометирани комуникации, като използва следните методи за удостоверяване, които телефонът поддържа:

• Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е криптирана.

• Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез защитено тунелиране (EAP-FAST) Удостоверяване: Тази архитектура за сигурност клиент-сървър криптира EAP транзакциите в рамките на тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

  Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

  В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжичен EAP-TLS клиентският сертификат може да бъде MIC, LSC или инсталиран от потребителя сертификат.

• Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

• Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:

  ASCII: низ с ASCII знаци с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

  Пример: GREG123567@9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

• WPA/WPA2/WPA3: Използва информация за RADIUS сървъра за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

• Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с активиран FT за бързо и сигурно повторно удостоверяване. Cisco Desk Phone 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздуха, така и над DS, за да се позволи бърз сигурен роуминг. Но ние силно препоръчваме да използвате метода 802.11r (FT) по въздуха.

С WPA/WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извличат между AP и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за криптиране. Когато тези механизми се използват за криптиране, както сигналните SIP пакети, така и гласовите пакети на Real-Time Transport Protocol (RTP) се криптират между AP и телефона.

TKIP

WPA използва TKIP криптиране, което има няколко подобрения в сравнение с WEP. TKIP осигурява шифриране на ключове на пакет и по-дълги вектори за инициализация (IV), които засилват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, която помага на нарушителите да дешифрират WEP ключа.

AES

Метод за криптиране, използван за удостоверяване на WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има същия ключ за шифроване и дешифроване. AES използва шифроване на верига за блокиране на шифър (CBC) с размер 128 бита, което поддържа ключови размери от 128 бита, 192 бита и 256 бита, като минимум. Телефонът поддържа размер на клавиша от 256 бита.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверяват успешно, трябва да конфигурирате същите SSID с техните схеми за удостоверяване и шифроване на точки за достъп и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

Схемите за удостоверяване и шифроване в таблицата по-долу показват опциите за мрежова конфигурация за телефона, който съответства на конфигурацията на AP.