Cisco IP phone security on 9800/8875 (Multiplatform)

Certifikát zariadenia je možné automaticky obnoviť procesom SCEP.

• Telefón každé 4 hodiny kontroluje, či platnosť certifikátu vyprší o 15 dní. Ak áno, telefón automaticky spustí proces obnovenia certifikátu.
• Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu aj obnovenie certifikátu. Ak je heslo výzvy nakonfigurované, používa sa iba na počiatočnú registráciu, existujúci/nainštalovaný certifikát sa použije na obnovenie certifikátu.
• Telefón neodstráni starý certifikát zariadenia, kým nenačíta nový.
• Ak obnovenie certifikátu zlyhá, pretože vyprší platnosť certifikátu zariadenia alebo certifikačnej autority, telefón automaticky spustí počiatočnú registráciu. Medzitým, ak overenie hesla výzvy zlyhá, na obrazovke telefónu sa zobrazí obrazovka na zadanie hesla a používatelia sú vyzvaní, aby na telefóne zadali heslo výzvy.

Cisco IP Phones podporuje autentifikáciu 802.1X.

Prepínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.

Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko komponentov:

• Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosepplikanta telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

• Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.

• Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

• Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.

• Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.

  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore štandardu IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínačov Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.

• Konfigurovať hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete pokračovať v používaní hlasovej siete VLAN.
  • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, zakážte hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
• (Len pre stolový telefón Cisco Phone 9800 Series)

  Telefón Cisco Desk Phone 9800 Series má v PID inú predvoľbu ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho telefónu Cisco Desk Phone 9800 Series.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na začiatok na DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Zásada > Podmienky > Podmienky knižnice

  • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Keďže všetky WLAN zariadenia, ktoré sú v dosahu, môžu prijímať všetky ostatné WLAN prevádzky, zabezpečenie hlasovej komunikácie je v sieti WLAN rozhodujúce. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytiť hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení sietí nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Riešenie bezdrôtovej IP telefónie Cisco poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a narušeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

• Otvorené overenie: Každé bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) mohla byť nešifrovaná.

• Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje EAP transakcie v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

  Tunel TLS používa poverenia chráneného prístupu (PAC) na autentifikáciu medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie príslušné PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC primárnym kľúčom. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa TLS tunel. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

  V systéme ISE predvolene platnosť PAC vyprší o týždeň. Ak má telefón PAC s vypršanou platnosťou, overenie pomocou servera RADIUS trvá dlhšie, kým telefón dostane nový PAC. Aby ste sa vyhli oneskoreniam pri poskytovaní PAC, nastavte dobu vypršania platnosti PAC na 90 dní alebo dlhšie na serveri ISE alebo RADIUS.

• Autentifikácia Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) (Extensible Authentication Protocol-): EAP-TLS vyžaduje certifikát klienta na autentifikáciu a prístup do siete. V prípade bezdrôtových EAP-TLS môže byť klientskym certifikátom certifikát MIC, LSC alebo certifikát nainštalovaný používateľom.

• Protected Extensible Authentication Protocol (PEAP): proprietárna schéma vzájomnej autentifikácie založená na hesle spoločnosti Cisco medzi klientom (telefónom) a serverom RADIUS. Telefón môže používať PEAP na overenie v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

• Predzdieľaný kľúč (PSK): Telefón podporuje ASCII formát. Tento formát musíte použiť pri nastavovaní vopred zdieľaného kľúča WPA/WPA2/SAE:

  ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)

  Príklad: GREG123567@9ZX&W

Nasledujúce schémy overovania používajú server RADIUS na správu autentifikačných kľúčov:

• WPA/WPA2/WPA3: Používa informácie zo servera RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako WPA predzdieľané kľúče, ktoré sú uložené v prístupovom bode a telefóne.

• Rýchly zabezpečený roaming: Používa informácie zo servera RADIUS a bezdrôtového doménového servera (WDS) na správu a overovanie kľúčov. WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT pre rýchlu a bezpečnú opätovnú autentifikáciu. Telefóny Cisco Desk Phone 9861 a 9871 a Cisco Video Phone 8875 podporujú štandard 802.11r (FT). Podporované sú vzduchom aj DS, ktoré umožňujú rýchly a bezpečný roaming. Dôrazne však odporúčame použiť metódu 802.11r (FT) nad vzduchom.

Pri použití WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Na každom telefóne však musí byť zadané EAP používateľské meno a heslo, ktoré sa používajú na overenie.

Aby bola hlasová prevádzka bezpečná, telefón podporuje šifrovanie TKIP a AES. Keď sa na šifrovanie používajú tieto mechanizmy, medzi prístupovým bodom a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety protokolu prenosu v reálnom čase (RTP).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčom pre každý paket a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zabezpečuje, že šifrované pakety sa nemenia. TKIP odstraňuje predvídateľnosť WEP, ktorá pomáha votrelcom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje minimálne veľkosti kľúčov 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.

Schémy overovania a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou autentifikačnou a šifrovacou schémou. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte na prístupových bodoch a v telefóne nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktorá zodpovedá konfigurácii prístupového bodu.