- Pagină de pornire
- /
- Articol
Cisco IP securitatea telefonului pe 9800/8875 (multiplatformă)
Acest articol de ajutor este pentru Cisco Desk Phone seria 9800 și Cisco Video Phone 8875 înregistrate în Cisco BroadWorks sau Webex Calling.
Certificat de dispozitiv personalizat (CDC) pe 802.1X
Instalarea manuală a certificatului de dispozitiv particularizat
Puteți instala manual un certificat de dispozitiv particularizat (CDC) pe telefon, încărcând certificatul de pe pagina web de administrare a telefonului.
nainte de a începe
Înainte de a putea instala un certificat de dispozitiv particularizat pentru un telefon, trebuie să aveți:
- Un fișier certificat (.p12 sau .pfx) salvat pe PC. Fișierul conține certificatul și cheia privată.
- Extrasul parolei certificatului. Parola este utilizată pentru a decripta fișierul certificat.
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați Certificat. |
3 |
În secțiunea Add Certificate ( Adăugare certificat ), faceți clic pe Browse.... |
4 |
Răsfoiți până la certificatul de pe PC. |
5 |
În câmpul Parolă de extragere, introduceți parola de extragere a certificatului. |
6 |
Faceți clic pe Încărcare. Dacă fișierul certificatului și parola sunt corecte, veți primi mesajul "
Certificat adăugat. ". În caz contrar, încărcarea eșuează cu un mesaj de eroare care indică faptul că certificatul nu poate fi încărcat. |
7 |
Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente. |
8 |
Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente. După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.
Dacă certificatul este eliminat cu succes, veți primi mesajul " |
Instalați automat certificatul de dispozitiv personalizat prin SCEP
Puteți configura parametrii Simple Certificate Enrollment Protocol (SCEP) pentru a instala automat Custom Device Certificate (CDC), dacă nu doriți să încărcați manual fișierul certificat sau dacă nu aveți fișierul certificat în loc.
Când parametrii SCEP sunt configurați corect, telefonul trimite solicitări către serverul SCEP, iar certificatul CA este validat de dispozitiv utilizând amprenta definită.
nainte de a începe
Înainte de a putea efectua o instalare automată a unui certificat de dispozitiv particularizat pentru un telefon, trebuie să aveți:
- Adresa serverului SCEP
- Amprenta SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați Certificat. |
3 |
În secțiunea SCEP Configuration 1 , setați parametrii descriși în tabelul următor Parametri pentru configurația SCEP. |
4 |
Faceți clic pe Trimitere toate modificările. |
Parametri pentru configurarea SCEP
Următorul tabel definește funcția și utilizarea parametrilor de configurare SCEP în secțiunea SCEP Configuration 1 din fila Certificat din interfața Web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) pentru a configura un parametru.
Parametru | Descriere |
---|---|
Server |
Adresa serverului SCEP. Acest parametru este obligatoriu. Efectuaţi una din activităţile următoare:
Valori valide: o adresă URL sau IP. Schema HTTPS nu este acceptată. Valoarea prestabilită: necompletată |
Amprentă CA rădăcină |
Amprenta SHA256 sau SHA1 a Root CA pentru validare în timpul procesului SCEP. Acest parametru este obligatoriu. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Parola provocării |
Parola de provocare pentru autorizarea Certificate Authority (CA) împotriva telefonului în timpul unei înscrieri a certificatului prin SCEP. Acest parametru este opțional. În funcție de mediul SCEP real, comportamentul parolei de provocare variază.
Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Configurarea parametrilor SCEP prin DHCP opțiunea 43
În plus față de înregistrarea certificatului SCEP prin configurațiile manuale de pe pagina web a telefonului, puteți utiliza și opțiunea DHCP 43 pentru a popula parametrii de pe un server DHCP. Opțiunea DHCP 43 este preconfigurată cu parametrii SCEP, ulterior telefonul poate prelua parametrii de la serverul DHCP pentru a efectua înscrierea certificatului SCEP.
- Configurarea parametrilor SCEP prin DHCP opțiunea 43 este disponibilă numai pentru telefonul la care se efectuează o resetare la setările din fabrică.
- Telefoanele nu vor fi plasate în rețeaua care acceptă atât opțiunea 43, cât și asigurarea accesului la distanță (de exemplu, opțiunea 66,160,159,150 sau asigurarea accesului în cloud). În caz contrar, este posibil ca telefoanele să nu primească configurațiile Option 43.
Pentru a înscrie un certificat SCEP configurând parametrii SCEP în opțiunea DHCP 43, procedați astfel:
- Pregătiți un mediu SCEP.
Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.
- Configurați DHCP opțiunea 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).
Subopțiunile (10-15) sunt rezervate metodei:
Parametru pe pagina web a telefonului Subopțiune Tip Lungime (octet) Obligatoriu Modul FIPS 10 boolean 1 Nu* Server 11 șir 208 - lungime (Challenge Password) Da Amprentă CA rădăcină 12 binar 20 sau 32 Da Parola provocării 13 șir 208 - lungime (Server) Nu* Activarea autentificării 802.1X 14 boolean 1 Nu Selectare certificat 15 nesemnat pe 8 biți 1 Nu Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:
- Subopțiunile (10–15) sunt rezervate pentru Certificatul de dispozitiv personalizat (CDC).
- Lungimea maximă a opțiunii DHCP 43 este de 255 octeți.
- Lungimea maximă a parolei server + provocare trebuie să fie mai mică de 208 octeți.
- Valoarea modului FIPS trebuie să fie în concordanță cu configurația de asigurare a accesului la integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Special
- Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați parametrul Mod FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
- Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este activat, trebuie să activați modul FIPS în opțiunea DHCP 43. Consultați Activarea modului FIPS pentru detalii.
- Parola din opțiunea 43 este în text clar.
Dacă parola provocării este goală, telefonul utilizează MIC/SUDI pentru înscrierea inițială și reînnoirea certificatului. Dacă parola de provocare este configurată, aceasta este utilizată numai pentru înscrierea inițială, iar certificatul instalat va fi utilizat pentru reînnoirea certificatului.
- Enable 802.1X Authentication (Activare autentificare 802.1X) și Certificate Select (Selectare certificat) sunt utilizate numai pentru telefoanele din rețeaua cu fir.
- Opțiunea DHCP 60 (Vendor Class Identifier) este utilizată pentru a identifica modelul dispozitivului.
Următorul tabel oferă un exemplu de opțiune DHCP 43 (subopțiunile 10–15):
Subopțiune zecimal/hexazecimal Lungimea valorii (octet) zecimal/hexazecimal Valoare Valoare hexagonală 10/0a 1/01 1 (0: Dezactivat; 1: Activat) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0C 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nu; 1: Da) 01 15/0f 1/01 1 (0: Producție instalată; 1: Personalizat instalat) 01 Rezumatul valorilor parametrilor:
-
Mod FIPS =
Activat
-
Server =
http://10.79.57.91
-
Amprentă CA rădăcină =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Parola provocării =
D233CCF9B9952A15
-
Activați autentificarea 802.1X =
Da
-
Certificate Select =
Personalizat instalat
Sintaxa valorii hexazecimale finale este:
{<suboption><length><value>}...
Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este următoarea:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Configurați opțiunea DHCP 43 pe un server DHCP.Acest pas oferă un exemplu de configurații cu opțiunea DHCP 43 din Cisco Network Register.
- Adăugați setul de definiții de opțiuni DHCP.
Șirul de opțiuni al furnizorului este numele modelului telefoanelor IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.
- Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiții al opțiunii DHCP.
Exemplu:
- Adăugați opțiunile 43 la politica DHCP și configurați valoarea după cum urmează:
Exemplu:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea între telefon și serviciu.
- Adăugați setul de definiții de opțiuni DHCP.
- Efectuați o resetare la setările din fabrică a telefonului.
După resetarea telefonului, parametrii Server, Root CA Fingerprint și Challenge Password vor fi completați automat. Acești parametri se găsesc în secțiunea SCEP Configuration 1 din de pe pagina web de administrare a telefonului.
Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.
Pentru a verifica starea instalării certificatului, selectați descărcării 1 afișează cel mai recent rezultat. Dacă apare vreo problemă în timpul înscrierii certificatului, starea descărcării poate afișa motivul problemei în scopul depanării.
. StareaDacă autentificarea cu parolă a provocării eșuează, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului. - (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.
Reînnoirea certificatului de către SCEP
Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.
- Telefonul verifică dacă certificatul va expira în 15 zile la fiecare 4 ore. În acest caz, telefonul pornește automat procesul de reînnoire a certificatului.
- Dacă parola provocării este goală, telefonul utilizează MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului. Dacă parola de provocare este configurată, este utilizată numai pentru înscrierea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
- Telefonul nu scoate certificatul vechi al dispozitivului până când nu îl regăsește pe cel nou.
- Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înscrierea inițială. Între timp, dacă autentificarea cu parolă a provocării eșuează, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola provocării pe telefon.
Setați versiunea TLS minimă pentru client și server
În mod implicit, versiunea TLS minimă pentru client și server este 1.2. Aceasta înseamnă că clientul și serverul acceptă să stabilească conexiuni cu TLS 1.2 sau o versiune ulterioară. Versiunea maximă acceptată de TLS pentru client și server este 1.3. Când este configurat, versiunea TLS minimă va fi utilizată pentru negocierea între clientul TLS și serverul TLS.
Puteți seta versiunea minimă de TLS pentru client și respectiv server, cum ar fi 1.1, 1.2 sau 1.3.
nainte de a începe
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați . |
3 |
În secțiunea Setări de securitate, configurați parametrul TLS Client Min Version.
De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.xml): <TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>
Valori permise: TLS 1.1, TLS1.2 și TLS 1.3. Valoarea prestabilită: TLS 1.2 |
4 |
În secțiunea Setări de securitate, configurați parametrul TLS Server Min Version. Webex Calling nu acceptă TLS 1.1.
De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.xml): TLS 1.2
Valori permise: TLS 1.1, TLS1.2 și TLS 1.3. Valoarea prestabilită: TLS 1.2 |
5 |
Faceți clic pe Trimitere toate modificările. |
Activarea modului FIPS
Puteți face un telefon conform cu Standardele Federale de Procesare a Informațiilor (FIPS).
FIPS sunt un set de standarde care descriu procesarea documentelor, algoritmii de criptare și alte standarde de tehnologie a informației pentru utilizare în cadrul guvernului non-militar și de către contractorii și furnizorii guvernamentali care lucrează cu agențiile. CiscoSSL FOM (FIPS Object Module) este o componentă software atent definită și proiectată pentru compatibilitate cu biblioteca CiscoSSL, astfel încât produsele care utilizează biblioteca CiscoSSL și API pot fi convertite pentru a utiliza criptografia validată FIPS 140-2 cu efort minim.
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați . |
3 |
În secțiunea Setări de securitate , alegeți Da sau Nu din parametrul Mod FIPS . |
4 |
Faceți clic pe Trimitere toate modificările. Când activați FIPS, următoarele funcții funcționează perfect pe telefon:
|
Eliminarea manuală a unui certificat de securitate
Puteți să eliminați manual un certificat de securitate de pe un telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.
1 |
Din pagina web de administrare a telefonului, selectați Certificate. |
2 |
Găsiți certificatul în pagina Certificate. |
3 |
Faceți clic pe Ștergere. |
4 |
Reporniți telefonul după finalizarea procesului de ștergere. |
Setați parolele de utilizator și de administrator
După ce telefonul este înregistrat pentru prima dată într-un sistem de control al apelurilor sau după ce efectuați o resetare din fabrică a telefonului, trebuie să setați parolele de utilizator și de administrator pentru a spori securitatea telefonului. După setarea parolelor, puteți accesa interfața web a telefonului.
În mod implicit, parolele de utilizator și de administrator sunt goale. Prin urmare, puteți găsi problema „Nu a fost furnizată nicio parolă” pe ecranul telefonului
.1 |
Accesarea paginii web de administrare a telefonului |
2 |
Selectați . |
3 |
(Opțional) În secțiunea Configurare sistem , setați parametrul Afișare avertismente parolă la Da, apoi faceți clic pe Trimiteți toate modificările. De asemenea, puteți activa parametrii în fișierul de configurare al telefonului (cfg.xml).
Valoarea prestabilită: Da Opțiuni: Da|Nu Dacă parametrul este setat la Nu, avertismentul privind parola nu apare pe ecranul telefonului. |
4 |
Localizați parametrul Parolă utilizator sau Parolă administrator și faceți clic pe Modificare parolă de lângă parametru. |
5 |
Introduceți parola utilizatorului curent în câmpul Parolă veche . Dacă nu aveți o parolă, lăsați câmpul gol. Valoarea prestabilită este necompletată.
|
6 |
Introduceți o parolă nouă în câmpul Parolă nouă . Reguli pentru parole valide:
Dacă noua parolă nu îndeplinește cerințele, setarea va fi refuzată. |
7 |
Faceţi clic pe Submit (Trimitere). Mesajul După ce setați parola utilizatorului, acest parametru afișează următoarele în fișierul de configurare a telefonului XML (cfg.xml):
|
Autentificarea 802.1X
Telefoanele Cisco IP acceptă autentificarea 802.1X.
Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.
Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.
Acceptarea autentificării 802.1X necesită mai multe componente:
-
Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.
-
Server de autentificare: Serverul de autentificare și switch-ul trebuie să fie configurate ambele cu un secret partajat care autentifică telefonul.
-
Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.
Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.
-
Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.
-
Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.
-
Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.
Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.
-
- Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
- Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
- Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
- (Numai pentru telefonul de birou Cisco din seria 9800)
Telefonul Cisco Desk Phone seria 9800 are un prefix diferit în PID față de cel al celorlalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați parametrul Radius·User-Name pentru a include telefonul Cisco Desk Phone seria 9800.
De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Radius·Nume-utilizator la
Începe cu DP
sauConține DP
. Îl puteți seta în ambele secțiuni următoare: -
Activarea autentificării 802.1X
Când este activată autentificarea 802.1X, telefonul utilizează autentificarea 802.1X pentru a solicita acces la rețea. Când autentificarea 802.1X este dezactivată, telefonul folosește Cisco Discovery Protocol (CDP) pentru a obține acces VLAN și la rețea. De asemenea, puteți vizualiza starea tranzacției și puteți modifica setarea în meniul de pe ecranul telefonului.
Când este activată autentificarea 802.1X, puteți selecta și certificatul dispozitivului (MIC/SUDI sau personalizat) pentru înscrierea inițială și reînnoirea certificatului. De obicei, MIC este pentru telefonul video Cisco 8875, iar SUDI este pentru telefonul de birou Cisco din seria 9800. CDC poate fi utilizat pentru autentificare doar în 802.1x.
1 |
Efectuați una dintre următoarele acțiuni pentru a activa autentificarea 802.1X:
|
2 |
Selectați un certificat (MIC sau personalizat) pentru autentificarea 802.1X pe pagina web a telefonului.
Pentru informații despre cum se selectează un tip de certificat pe ecranul telefonului, consultați Conectarea telefonului la o rețea Wi-Fi.
|
Parametri pentru autentificarea 802.1X
Parametri |
Opţiuni |
Default |
Descriere |
---|---|---|---|
Autentificarea dispozitivelor |
Activat Dezactivat |
Dezactivat |
Activați sau dezactivați autentificarea 802.1X pe telefon. Setarea parametrilor poate fi păstrată după înregistrarea Out-Of-Box (OOB) a telefonului. |
Stare tranzacţie | Dezactivate |
Afișează starea autentificării 802.1X. Statul poate fi (fără a se limita la):
| |
Protocol | Fără |
Afișează metoda EAP utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS. | |
Tipul certificatului de utilizator |
Producție instalată Instalat personalizat |
Producție instalată |
Selectați certificatul pentru autentificarea 802.1X în timpul înscrierii inițiale și al reînnoirii certificatului.
Acest parametru apare pe telefon numai atunci când este activată autentificarea dispozitivului. |
Vizualizarea informațiilor despre setările de securitate de pe telefon
Parametri |
Descriere |
---|---|
Autentificare 802.1X | Activează sau dezactivează autentificarea IEEE 802.1X. Pentru detalii, consultați Activarea autentificării 802.1X. |
Compatibilitate inversă cu WPA |
Determină dacă cea mai veche versiune a Wi-Fi Acces protejat (WPA) este compatibilă pe telefon pentru conectarea la o rețea fără fir sau la un punct de acces (AP).
Această caracteristică este disponibilă numai pe telefoanele 9861/9871/8875. |
nainte de a începe
Puteți vizualiza informațiile despre setările de securitate în meniul telefonului. Disponibilitatea informațiilor depinde de setările de rețea din organizația dvs.
1 |
Apăsați Setări |
2 |
Navigați la Securitate. |
3 |
În Setări desecuritate, vizualizați informațiile de securitate. |
Configurarea unui server proxy
Puteți configura telefonul să utilizeze un server proxy pentru a spori securitatea. De obicei, un server proxy HTTP poate furniza următoarele servicii:
- Rutarea traficului între rețelele interne și externe
- Filtrarea, monitorizarea sau înregistrarea traficului
- Memorarea în cache a răspunsurilor pentru îmbunătățirea performanței
De asemenea, serverul proxy HTTP poate acționa ca un firewall între telefon și Internet. După o configurare reușită, telefonul se conectează la Internet prin serverul proxy care protejează telefonul de atacurile cibernetice.
Când este configurată, caracteristica proxy HTTP se aplică tuturor aplicațiilor care utilizează protocolul HTTP. De exemplu:
- GDS (Cod de activare la bord)
- Activarea dispozitivului EDOS
- Integrarea în Webex Cloud (prin EDOS sau GDS)
- Autoritate de certificare personalizată
- Pregătire
- Upgrade firmware
- Raport stare telefon
- Încărcare PRT
- Servicii XSI
- Servicii Webex
- În prezent, caracteristica acceptă doar IPv4.
- Setările proxy HTTP pot fi păstrate după înregistrarea predefinită (OOB) a telefonului.
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați . |
3 |
În secțiunea Setări proxy HTTP, selectați un mod proxy din lista derulantă Modul proxy și configurați parametrii asociați. Pentru mai multe informații despre parametrii și parametrii necesari pentru fiecare mod proxy, consultați Parametri pentru setările proxy HTTP. |
4 |
Faceți clic pe Trimitere toate modificările. |
Parametri pentru setările proxy HTTP
Următorul tabel definește funcția și utilizarea parametrilor proxy HTTP în secțiunea Setări proxy HTTP din din interfața Web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) cu codul XML pentru configurarea unui parametru.
Parametru | Descriere |
---|---|
Modul proxy | Specifică modul proxy HTTP utilizat de telefon sau dezactivează caracteristica proxy HTTP.
Efectuaţi una din activităţile următoare:
Valori permise: Automat, Manual și Dezactivat Implicit: Dezactivat |
Web Proxy Auto Discovery | Determină dacă telefonul utilizează protocolul Web Proxy Auto Discovery (WPAD) pentru a regăsi un fișier PAC. Protocolul WPAD utilizează DHCP sau DNS sau ambele protocoale de rețea pentru a localiza automat un fișier Proxy Auto Configuration (PAC). PAC fișier este utilizat pentru a selecta un server proxy pentru un URL dat. Acest fișier poate fi găzduit local sau într-o rețea.
Efectuaţi una din activităţile următoare:
Valori permise: Da și Nu Valoarea prestabilită: Da |
PAC URL | Adresa URL a unui fișier PAC. De exemplu, TFTP, HTTP și HTTPS sunt acceptate. Dacă setați modul proxy la descoperire automată și descoperire automată proxy web la nu , trebuie să configurațiacest parametru. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Gazdă proxy | Adresa IP sau numele de gazdă al serverului gazdă proxy pentru accesarea telefonului. De exemplu:
Schema ( Dacă setați modul proxy la Manual, trebuie să configurați acest parametru. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Proxy Port | Numărul portului serverului gazdă proxy. Dacă setați modul proxy la Manual, trebuie să configurați acest parametru. Efectuaţi una din activităţile următoare:
Implicit: 3128 |
Autentificare proxy | Determină dacă utilizatorul trebuie să furnizeze acreditările de autentificare (nume de utilizator și parolă) necesare serverului proxy. Acest parametru este configurat în funcție de comportamentul real al serverului proxy. Dacă setați parametrul la Da, trebuie să configurați numele de utilizator și parola. Pentru detalii despre parametri, consultați parametrul "Nume utilizator" și "Parolă" din acest tabel. Configurația parametrilor are efect atunci când Modul proxy este setat la Manual . Efectuaţi una din activităţile următoare:
Valori permise: Da și Nu Implicit: nu |
Nume de utilizator | Nume de utilizator pentru un utilizator de acreditare pe serverul proxy. Dacă Modul proxy este setat la Manual și autentificarea proxy este setată la Da, trebuie să configurați parametrul. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Parolă | Parola numelui de utilizator specificat în scopul autentificării proxy. Dacă Modul proxy este setat la Manual și autentificarea proxy este setată la Da, trebuie să configurați parametrul. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Modul proxy | Parametrii necesari | Descriere |
---|---|---|
Dezactivat | NA | Proxy HTTP este dezactivat pe telefon. |
Manual | Gazdă proxy Proxy Port Autentificare proxy: Da Nume de utilizator Parolă | Specificați manual un server proxy (un nume de gazdă sau o adresă IP) și un port proxy. Dacă serverul proxy necesită autentificare, trebuie să introduceți în continuare numele de utilizator și parola. |
Gazdă proxy Proxy Port Autentificare proxy: Nu | Specificați manual un server proxy. Serverul proxy nu necesită acreditări de autentificare. | |
Auto | Web Proxy Auto Discovery: Nu PAC URL | Introduceți un URL PAC valid pentru a regăsi fișierul PAC. |
Web Proxy Auto Discovery: Da |
Utilizează protocolul WPAD pentru a regăsi automat un fișier PAC. |
Activați modul inițiat de client pentru negocierile de securitate ale planului media
Pentru a proteja sesiunile media, puteți configura telefonul pentru a iniția negocieri de securitate a planului media cu serverul. Mecanismul de securitate respectă standardele menționate în RFC 3329 și proiectul său de extindere a numelor mecanismelor de securitate pentru mass-media (a se vedea https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transportul negocierilor între telefon și server poate utiliza protocolul SIP prin UDP, TCP și TLS. Puteți limita ca negocierea securității planului media să se aplice numai atunci când protocolul de transport al semnalizării este TLS.
Parametru | Descriere |
---|---|
Cerere MediaSec |
Specifică dacă telefonul inițiază negocieri de securitate a planului media cu serverul. Efectuaţi una din activităţile următoare:
Valori permise: Da | Nu
Implicit: nu |
Numai MediaSec prin TLS |
Specifică protocolul de transport de semnalizare peste care se aplică negocierea securității avionului media. Înainte de a seta acest câmp la Da, asigurați-vă că protocolul de transport al semnalizării este TLS. Efectuaţi una din activităţile următoare:
Valori permise: Da | Nu
Implicit: nu |
1 |
Accesați pagina web de administrare a telefonului. |
2 |
Selectați . |
3 |
În secțiunea Setări SIP, setați câmpurile Solicitare MediaSec și Numai prin TLS , așa cum sunt definite în tabelul de mai sus. |
4 |
Faceți clic pe Trimitere toate modificările. |
Securitate WLAN
Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Soluția de telefonie Cisco Wireless IP asigură securitatea rețelei wireless care previne conectările neautorizate și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:
-
Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentificare: Această arhitectură de securitate client-server criptează tranzacțiile EAP într-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).
Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.
În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.
-
Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru EAP-TLS wireless, certificatul client poate fi MIC, LSC sau certificat instalat de utilizator.
-
Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua fără fir. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.
-
Cheie pre-partajată (PSK): telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie pre-partajată WPA/WPA2/SAE:
ASCII: un șir de caractere ASCII cu 8 - 63 caractere lungime (0-9, litere mici și majuscule A-Z și caractere speciale)
Exemplu: GREG123567@9ZX&W
Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:
-
WPA/WPA2/WPA3: utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât cheile prepartajate WPA stocate pe AP și telefon.
-
Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Cisco Video Phone 8875 acceptă 802.11r (FT). Atât deasupra aerului cât și deasupra DS sunt acceptate pentru a permite roaming rapid și sigur. Dar vă recomandăm insistent utilizarea 802.11r (FT) la metoda aeriană.
Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.
Pentru a asigura securitatea traficului vocal, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele RTP (voice Real-Time Transport Protocol) sunt criptate între AP și telefon.
- TKIP
-
WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă cifrarea cheilor per pachet și vectori de inițializare (IV) mai lungi, care consolidează criptarea. În plus, o verificare de integritate a mesajului (MIC) garantează faptul că pachetele criptate nu sunt modificate. TKIP elimină predictibilitatea WEP, care ajută intrușii să descifreze cheia WEP.
- AES
-
O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric, care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea Cipher Blocking Chain (CBC) pe dimensiunea de 128 de biți, care acceptă dimensiuni de chei de minimum 128 de biți, 192 de biți și 256 de biți. Telefonul acceptă o dimensiune a tastei de 256 biți.
Telefoanele de birou Cisco 9861, 9871 și Cisco Video Phone 8875 nu acceptă Cisco Key Integrity Protocol (CKIP) cu CMIC.
Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.
Unele scheme de autentificare necesită tipuri specifice de criptare.
- Când utilizați cheia WPA pre-partajată, cheia WPA2 pre-partajată sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.
-
Telefonul acceptă negocierea automată EAP pentru FAST sau PEAP, dar nu și pentru TLS. Pentru modul EAP-TLS, trebuie să îl specificați.
Schemele de autentificare și criptare din tabelul următor prezintă opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.
Tip FSR | Autentificare | Administrare chei | Criptare | Cadrul de Management Protejat (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nu |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Da |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nu |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nu |
802.11r (FT) | EAP-RAPID (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nu |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Da |
Configurarea profilului Wi-Fi
Puteți configura un profil Wi-Fi din pagina web a telefonului sau din profilul dispozitivului la distanță, resincronizați și apoi asociați profilul cu rețelele Wi-Fi disponibile. Puteți utiliza acest profil Wi-Fi pentru a vă conecta la o rețea Wi-Fi. În prezent, poate fi configurat un singur profil Wi-Fi.
Profilul conține parametrii necesari pentru ca telefoanele să se conecteze la serverul de telefonie prin Wi-Fi. Atunci când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoane individuale.
Un profil Wi-Fi vă permite să împiedicați sau să limitați modificările configurației Wi-Fi de pe telefon de către utilizator.
Vă recomandăm să utilizați un profil securizat cu protocoale activate pentru criptare pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.
Când configurați telefoanele să utilizeze metoda de autentificare EAP-FAST în modul de securitate, utilizatorii au nevoie de acreditări individuale pentru a se conecta la un punct de acces.
1 |
Accesați pagina web a telefonului. |
2 |
Selectați . |
3 |
În secțiunea Profil Wi-Fi (n), setați parametrii așa cum este descris în tabelul următor Parametri pentru profilul Wi-Fi. Configurația profilului Wi-Fi este, de asemenea, disponibilă pentru conectarea utilizatorului.
|
4 |
Faceți clic pe Trimitere toate modificările. |
Parametrii pentru profilul Wi-Fi
Următorul tabel definește funcția și utilizarea fiecărui parametru în secțiunea Profil Wi-Fi(n) din fila Sistem de pe pagina web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) pentru a configura un parametru.
Parametru | Descriere |
---|---|
Numele rețelei | Vă permite să introduceți un nume pentru SSID-ul care se va afișa pe telefon. Mai multe profiluri pot avea același nume de rețea, cu moduri de securitate diferite. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Mod securitate | Vă permite să selectați metoda de autentificare utilizată pentru securizarea accesului la rețeaua Wi-Fi. În funcție de metoda pe care o alegeți, apare un câmp pentru parolă, astfel încât să puteți furniza acreditările necesare pentru a vă conecta la această rețea Wi-Fi. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: Auto |
ID utilizator Wi-Fi | Vă permite să introduceți un ID de utilizator pentru profilul de rețea. Acest câmp este disponibil atunci când setați modul de securitate la Auto, EAP-FAST sau EAP-PEAP. Acesta este un câmp obligatoriu și permite o lungime maximă de 32 de caractere alfanumerice. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Parolă Wi-Fi | Vă permite să introduceți parola pentru ID-ul de utilizator Wi-Fi specificat. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
Banda de frecvență | Vă permite să selectați banda de frecvență a semnalului wireless utilizată de WLAN. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: Auto |
Selectare certificat | Vă permite să selectați un tip de certificat pentru înscrierea inițială a certificatului și reînnoirea certificatului în rețeaua wireless. Acest proces este disponibil numai pentru autentificarea 802.1X. Efectuaţi una din activităţile următoare:
Implicit: Producție instalată |
Verificați starea de securitate a dispozitivului pe telefon
Telefonul verifică automat starea de securitate a dispozitivului. Dacă detectează potențiale amenințări de securitate pe telefon, meniul Probleme și diagnosticare poate afișa detaliile problemelor. Pe baza problemelor raportate, administratorul poate efectua operațiuni pentru securizarea și întărirea telefonului.
Pentru a vizualiza detalii despre problemele de securitate pe telefon, procedați astfel:
1 |
Apăsați Setări |
2 |
Selectați .În prezent, raportul de securitate al dispozitivului conține următoarele probleme:
|
3 |
Contactați administratorul pentru asistență în vederea rezolvării problemelor de securitate. |