Potrdilo naprave po meri (CDC) v 802.1X

Ročna namestitev potrdila naprave po meri

Potrdilo CDC (Custom Device Certificate) lahko v telefon namestite ročno, tako da ga naložite s spletne strani skrbništva telefona.

Preden začnete

Preden lahko namestite certifikat naprave po meri za telefon, morate imeti:

  • Datoteka s potrdilom (.p12 ali .pfx), shranjena v računalniku. Datoteka vsebuje potrdilo in zasebni ključ.
  • Geslo za izvleček potrdila. Geslo se uporablja za dešifriranje datoteke s potrdilom.
1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Potrdilo.

3

V razdelku Dodaj potrdilo kliknite Prebrskaj ....

4

Poiščite potrdilo v računalniku.

5

V polje Izpisi geslo vnesite izvleček gesla potrdila.

6

Kliknite Naloži.

Če sta datoteka s potrdilom in geslo pravilna, boste prejeli sporočilo "Potrdilo dodano.". V nasprotnem primeru prenos ne uspe in prikaže se sporočilo o napaki, da potrdila ni mogoče naložiti.
7

Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila .

8

Če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši .

Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.

Če potrdilo uspešno odstranite, boste prejeli sporočilo »Potrdilo izbrisano«.

Samodejno namesti certifikat naprave po meri s strani SCEP

Parametre protokola SCEP (Simple Certificate Enrollment Protocol) lahko nastavite tako, da samodejno namestite potrdilo naprave po meri (CDC), če ne želite ročno naložiti datoteke s potrdilom ali če nimate datoteke s potrdilom.

Ko so parametri SCEP pravilno konfigurirani, telefon pošlje zahteve strežniku SCEP, certifikat CA pa naprava potrdi z definiranim prstnim odtisom.

Preden začnete

Preden lahko izvedete samodejno namestitev potrdila naprave po meri za telefon, morate imeti:

  • Naslov strežnika SCEP
  • Prstni odtis SHA-1 ali SHA-256 korenskega certifikata CA za strežnik SCEP
1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Potrdilo.

3

V razdelku Konfiguracija SCEP 1 nastavite parametre, kot je opisano v naslednji tabeli Parametri za konfiguracijo SCEP.

4

Kliknite Submit All Changes.

Parametri za konfiguracijo SCEP

V naslednji tabeli sta funkciji in uporabi konfiguracijskih parametrov SCEP v razdelku Konfiguracija SCEP 1 na zavihku Potrdilo v spletnem vmesniku telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.xml) za konfiguriranje parametra.

Preglednica 1. Parametri za konfiguracijo SCEP
ParameterOpis
Strežnik

Naslov strežnika SCEP. Ta parameter je obvezen.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na spletni strani telefona vnesite naslov strežnika SCEP.

Veljavne vrednosti: URL ali naslov IP. Shema HTTPS ni podprta.

Privzeto: Prazno

Prstni odtis Root CA

SHA256 ali SHA1 prstni odtis Root CA za validacijo med postopkom SCEP. Ta parameter je obvezen.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <CDC_Root_CA_Fingerprint_1_ UA="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Na spletni strani telefona vnesite veljaven prstni odtis.

Privzeto: Prazno

Izpodbijanje gesla

Izpodbijano geslo za avtorizacijo overitelja potrdil (CA) na telefonu med vpisom certifikata prek SCEP. Ta parameter ni obvezen.

Glede na dejansko okolje SCEP se obnašanje izzivnega gesla razlikuje.

  • Če telefon prejme potrdilo Cisco RA, ki komunicira s CA, geslo za izziv v CA ni podprto. V tem primeru Cisco RA za dostop do licence CA uporabi mikrofon/SUDI telefona za preverjanje pristnosti. Telefon uporablja MIC/SUDI za začetni vpis in podaljšanje certifikata.
  • Če telefon dobi certifikat z neposredno komunikacijo s CA, je geslo za izziv podprto v CA. Če je konfiguriran, bo uporabljen samo za začetni vpis. Za podaljšanje certifikata bo namesto tega uporabljen nameščeni certifikat.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <CDC_Challenge_Password_1_ UA="na"></CDC_Challenge_Password_1_>

    Geslo je v konfiguracijski datoteki zakrito.

  • Na spletni strani telefona vnesite geslo za izziv.

Privzeto: Prazno

Konfiguracija parametrov SCEP prek možnosti DHCP 43

Poleg včlanitve certifikata SCEP z ročnimi konfiguracijami na spletni strani telefona lahko uporabite tudi možnost DHCP 43 za izpolnjevanje parametrov s strežnika DHCP. Možnost DHCP 43 je vnaprej konfigurirana s parametri SCEP, kasneje pa lahko telefon pridobi parametre s strežnika DHCP za izvedbo registracije certifikata SCEP.

  • Konfiguracija parametrov SCEP prek možnosti DHCP 43 je na voljo samo za telefon, v katerem se izvede ponastavitev na tovarniške nastavitve.
  • Telefoni ne smejo biti postavljeni v omrežje, ki podpira možnost 43 in omogočanje uporabe na daljavo (na primer možnosti 66,160,159,150 ali zagotavljanje storitev v oblaku). V nasprotnem primeru telefoni morda ne bodo dobili konfiguracij možnosti 43.

Če želite potrdilo SCEP pridobiti s konfiguriranjem parametrov SCEP v možnosti DHCP 43, naredite naslednje:

  1. Pripravite okolje SCEP.

    Za informacije o nastavitvi okolja SCEP glejte dokumentacijo strežnika SCEP.

  2. Nastavite možnost DHCP 43 (opredeljena v 8.4 Informacije o dobavitelju, RFC 2132).

    Podmožnosti (10–15) so rezervirane za metodo:

    Parameter na spletni strani telefonaPodmožnostVrstaDolžina (bajt)Obvezno
    Način FIPS10Logična vrednost1Ne*
    Strežnik11niz208 - dolžina (geslo izziva)da
    Prstni odtis Root CA12Binary20 ali 32da
    Izpodbijanje gesla13niz208 - dolžina (strežnik)Ne*
    Omogočanje preverjanja pristnosti 802.1X14Logična vrednost1Ne
    Izbira certifikata15nepodpisana 8-bitna različica1Ne

    Ko uporabljate možnost DHCP 43, upoštevajte naslednje značilnosti metode:

    • Podmožnosti (10–15) so rezervirane za potrdilo naprave po meri (CDC).
    • Največja dolžina DHCP možnosti 43 je 255 bajtov.
    • Največja dolžina Server + Challenge Password je manjša od 208 bajtov.
    • Vrednost načina FIPS je skladna s konfiguracijo zagotavljanja storitev na vozilu. V nasprotnem primeru telefon po vkrcanju ne more pridobiti predhodno nameščenega potrdila. Posebej
      • Če bo telefon registriran v okolju, kjer je način FIPS onemogočen, vam parametra FIPS Mode ni treba konfigurirati v DHCP možnosti 43. Način FIPS je privzeto onemogočen.
      • Če bo telefon registriran v okolju, kjer je omogočen način FIPS, morate omogočiti način FIPS v DHCP možnosti 43. Za podrobnosti glejte Omogočanje načina FIPS.
    • Geslo v možnosti 43 je v jasnem besedilu.

      Če je izzivno geslo prazno, telefon za začetni vpis in podaljšanje potrdila uporabi MIC/SUDI. Če je geslo za izziv konfigurirano, se uporabi samo za začetno včlanitev, nameščeno potrdilo pa bo uporabljeno za podaljšanje certifikata.

    • Omogoči preverjanje pristnosti 802.1X in možnost Certificate Select se uporabljata samo za telefone v žičnem omrežju.
    • DHCP možnost 60 (identifikator razreda dobavitelja) se uporablja za identifikacijo modela naprave.

    V naslednji tabeli je primer možnosti 43 DHCP (podmožnosti 10–15):

    Podmožnost decimalno/šestnajstiškoDolžina vrednosti (bajt), decimalna/šestnajstiškaVrednostHex vrednost
    10/0a1/011 (0: Onemogočeno; 1: Omogočeno)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0E1/011 (0: Ne; 1: Da)01
    15/0F1/011 (0: Proizvodno nameščeno; 1: Nameščeno po meri) 01

    Povzetek vrednosti parametrov:

    • Način FIPS = omogočeno

    • Strežnik = http://10.79.57.91

    • Prstni odtis Root CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Izziv geslo = D233CCF9B9952A15

    • Omogoči preverjanje pristnosti 802.1X =

    • Potrdilo Izberite = po meri nameščeno

    Sintaksa končne šestnajstiške vrednosti je: {<suboption><length><value>}...

    Glede na zgornje vrednosti parametrov je končna šestnajstiška vrednost naslednja:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurirajte DHCP možnost 43 v strežniku DHCP.

    Ta korak je primer konfiguracij DHCP možnosti 43 v omrežnem registru Cisco.

    1. Dodajte DHCP nabor definicij možnosti.

      Niz možnosti dobavitelja je ime modela IP-telefonov. Veljavna vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ali CP-8875.

    2. Naboru definicij DHCP možnosti dodajte možnost DHCP 43 in podmožnosti.

      Primer:

      Posnetek zaslona z definicijami DHCP možnosti 43 v registru omrežja Cisco

    3. V pravilnik DHCP dodajte možnosti 43 in nastavite vrednost na naslednji način:

      Primer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Preverite nastavitve. Wireshark lahko uporabite za zajemanje sledi omrežnega prometa med telefonom in storitvijo.
  4. Izvedite ponastavitev na tovarniške nastavitve telefona.

    Ko je telefon ponastavljen, se parametri Server , Root CA Fingerprint in Challenge Password samodejno izpolnijo. Ti parametri se nahajajo v razdelku Konfiguracija SCEP 1 iz Certifikat > Po meri na spletni strani skrbništva telefona.

    Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila .

    Če želite preveriti stanje namestitve potrdila, izberite Certificate > Custom Cert Status. Stanje prenosa 1 prikazuje najnovejši rezultat. Če med včlanitvijo certifikata pride do kakršne koli težave, lahko stanje prenosa pokaže razlog težave za odpravljanje težav.

    Če preverjanje pristnosti z geslom izziva ne uspe, bodo uporabniki pozvani, da geslo vnesejo na zaslonu telefona.
  5. (Izbirno): če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši .
    Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.

Podaljšanje certifikata s strani SCEP

Certifikat naprave je mogoče samodejno osvežiti s postopkom SCEP.

  • Telefon preveri, ali bo potrdilo poteklo čez 15 dni vsake 4 ure. V tem primeru telefon samodejno zažene postopek podaljšanja potrdila.
  • Če je geslo za izziv prazno, telefon uporabi MIC/SUDI za začetni vpis in podaljšanje potrdila. Če je izzivno geslo konfigurirano, se uporablja samo za začetno včlanitev, obstoječe/nameščeno potrdilo pa se uporabi za podaljšanje certifikata.
  • Telefon ne odstrani starega certifikata naprave, dokler ne pridobi novega.
  • Če podaljšanje certifikata ne uspe, ker certifikat naprave ali overitelj podatkov poteče, telefon samodejno sproži začetno včlanitev. Medtem, če preverjanje pristnosti z geslom izziva ne uspe, se na zaslonu telefona prikaže zaslon za vnos gesla in uporabniki so pozvani, da v telefon vnesejo geslo za izziv.

Nastavitev najmanjše različice TLS za odjemalca in strežnika

Privzeto je minimalna različica TLS za odjemalca in strežnika 1,2. To pomeni, da odjemalec in strežnik sprejmeta vzpostavitev povezav s TLS 1.2 ali novejšim. Podprta največja različica TLS za odjemalca in strežnika je 1.3. Ko bo konfigurirana, bo za pogajanja med odjemalcem TLS in strežnikom TLS uporabljena minimalna različica TLS.

Nastavite lahko najnižjo različico TLS za odjemalca in strežnika, na primer 1.1, 1.2 ali 1.3.

Preden začnete

Preverite, ali strežnik TLS podpira konfigurirano minimalno različico TLS. Lahko se posvetujete s skrbnikom sistema za nadzor klicev.
1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Najmanjša različica odjemalca.

  • TLS 1.1: Odjemalec TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v strežniku nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): TLS odjemalec podpira TLS 1.2 in 1.3.

    Če je različica TLS v strežniku nižja od 1.2, na primer 1.1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Odjemalec TLS podpira samo TLS 1.3.

    Če je različica TLS v strežniku nižja od 1,3, na primer 1,2 ali 1,1, povezave ni mogoče vzpostaviti.

    Če želite parameter "TLS Client Min Version" nastaviti na "TLS 1.3", se prepričajte, da strežniška stran podpira TLS 1.3. Če strežniška stran ne podpira TLS 1.3, lahko to povzroči kritične težave. Omogočanja uporabe na primer ni mogoče izvesti v telefonih.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):

<TLS_Client_Min_Version UA="na">TLS 1.2</TLS_Client_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

4

V razdelku Varnostne nastavitve konfigurirajte parameter TLS Server Min Version.

Klicanje Webex ne podpira TLS 1.1.
  • TLS 1.1: Strežnik TLS podpira različice TLS od 1.1 do 1.3.

    Če je različica TLS v odjemalcu nižja od 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.2 (privzeto): strežnik TLS podpira TLS 1.2 in 1.3.

    Če je različica TLS v odjemalcu nižja od 1,2, na primer 1,1, povezave ni mogoče vzpostaviti.

  • TLS 1.3: Strežnik TLS podpira samo TLS 1.3.

    Če je različica TLS v odjemalcu nižja od 1,3, na primer 1,2 ali 1,1, povezave ni mogoče vzpostaviti.

Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):

<TLS_Server_Min_Version UA = "na">TLS 1.2</TLS_Server_Min_Version>

Dovoljene vrednosti: TLS 1.1, TLS1.2 in TLS 1.3.

Privzeto: TLS 1.2

5

Kliknite Submit All Changes.

Omogočanje načina FIPS

Telefon lahko uskladite s FIPS (Federal Information Processing Standards).

FIPS je niz standardov, ki opisujejo obdelavo dokumentov, algoritme šifriranja in druge standarde informacijske tehnologije za uporabo v nevojaški vladi in s strani vladnih izvajalcev in prodajalcev, ki sodelujejo z agencijami. CiscoSSL FOM (FIPS Object Module) je skrbno definirana programska komponenta, zasnovana za združljivost s knjižnico CiscoSSL, zato lahko izdelke, ki uporabljajo knjižnico in API CiscoSSL, pretvorite v kriptografijo, potrjeno s FIPS 140-2, z minimalnim naporom.

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Varnostne nastavitve v parametru načina FIPS izberite Da ali Ne .

4

Kliknite Submit All Changes.

Ko omogočite FIPS, naslednje funkcije na telefonu delujejo brezhibno:
  • Preverjanje pristnosti slike
  • Varno shranjevanje
  • Konfiguracija šifriranja datotek
  • TLS:
    • HTTP-ji
    • Prenos PRT
    • Nadgradnja vdelane programske opreme
    • Vnovična sinhronizacija profila
    • Storitev na krovu
    • Uvajanje v Webex
    • SIP prek TLS
    • 802.1x (Žično)
  • SIP digest (RFC 8760)
  • SRTP
  • Dnevniki klicev Webex in imenik Webex
  • En gumb za pritisk (OBTP)

Ročno odstranjevanje varnostnega potrdila

Varnostno potrdilo lahko ročno odstranite iz telefona, če protokol SCEP (Simple Certificate Enrollment Protocol) ni na voljo.

1

Na spletni strani skrbništva telefona izberite Potrdila.

2

Poiščite potrdilo na strani Potrdila .

3

Kliknite Izbriši.

4

Po končanem postopku brisanja znova zaženite telefon.

Nastavitev uporabniškega in skrbniškega gesla

Ko je telefon prvič registriran v sistem za nadzor klicev ali v telefonu izvedete ponastavitev na tovarniške nastavitve, morate nastaviti uporabniško in skrbniško geslo, da povečate varnost telefona. Ko nastavite gesla, lahko dostopate do spletnega vmesnika telefona.

Privzeto sta uporabniško in skrbniško geslo prazna. Zato lahko težavo »Brez gesla« najdete na zaslonu telefona Settings > Issues and diagnostics > Issues .

1

Dostop do spletne strani skrbništva telefona

2

Izberite Voice > System.

3

(Neobvezno) V razdelku Konfiguracija sistema nastavite parameter Prikaži opozorila gesla na Da in nato kliknite Pošlji vse spremembe.

Parametre lahko omogočite tudi v konfiguracijski datoteki telefona (cfg.xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Privzeto: Da

Možnosti: Da |Ne

Če je parameter nastavljen na Ne, se opozorilo o geslu ne prikaže na zaslonu telefona.

4

Poiščite parameter Uporabniško geslo ali Skrbniško geslo in poleg parametra kliknite Spremeni geslo .

5

V polje Staro geslo vnesite trenutno uporabniško geslo .

Če nimate gesla, pustite polje prazno. Privzeto je ta možnost prazna.
6

V polje Novo geslo vnesite novo geslo .

Veljavna pravila za geslo:

  • Geslo mora vsebovati od 8 do 127 znakov.
  • Kombinacija (3/4) velike črke, majhne spodnje črke, številke in posebnega znaka.
  • Prostor ni dovoljen.
Če novo geslo ne ustreza zahtevam, bo nastavitev zavrnjena.
7

Kliknite Submit (Pošlji).

Na spletni strani se prikaže sporočilo Geslo je uspešno spremenjeno. Spletna stran se bo osvežila v nekaj sekundah.

Ko nastavite uporabniško geslo, ta parameter v konfiguraciji telefona v datoteki XML (cfg.xml prikaže naslednje:

<!-- <Admin_Password UA="Na">*************</Admin_Password> <User_Password UA="rw">*************</User_Password> -->

Preverjanje pristnosti 802.1X

Ciscovi IP-telefoni podpirajo preverjanje pristnosti 802.1X.

Ciscovi IP-telefoni in stikala Cisco Catalyst običajno uporabljajo protokol Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so dodelitev VLAN-a in zahteve glede moči v vrsti. CDP ne označuje lokalno priključenih delovnih postaj. Ciscovi IP-telefoni zagotavljajo prehodni mehanizem EAPOL. Ta mehanizem omogoča, da delovna postaja, ki je priključena na Ciscov IP-telefon, posreduje sporočila EAPOL avtentikatorju 802.1X pri stikalu LAN. Mehanizem prenosa zagotavlja, da IP-telefon ne deluje kot stikalo LAN za preverjanje pristnosti končne podatkovne točke pred dostopom do omrežja.

Ciscovi IP-telefoni zagotavljajo tudi nadomestni mehanizem za odjavo EAPOL. Če lokalno priključeni računalnik prekine povezavo s telefonom IP, stikalo LAN ne vidi, da fizična povezava ne uspe, ker je povezava med stikalom LAN in telefonom IP ohranjena. Da bi se izognili ogrožanju integritete omrežja, IP telefon pošlje stikalu v imenu nadaljnjega računalnika sporočilo EAPOL-Logoff, ki sproži stikalo LAN, da počisti vnos preverjanja pristnosti za osebni računalnik na nižji stopnji.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

  • Ciscov IP-telefon: telefon sproži zahtevo za dostop do omrežja. Ciscovi IP-telefoni vsebujejo priloženo snov 802.1X. Ta pripomoček skrbnikom omrežja omogoča nadzor nad povezljivostjo telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.

  • Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.

  • Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.

Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.

  • Konfigurirajte druge komponente, preden v telefonu omogočite preverjanje pristnosti 802.1X.

  • Konfiguriraj PC-vrata: Standard 802.1X ne upošteva VLAN-ov in zato priporoča, da se na določena stikalna vrata overi samo ena naprava. Vendar pa nekatera stikala podpirajo preverjanje pristnosti z več domenami. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata PC na telefonu.

    • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko omogočite vrata PC in nanj priključite računalnik. V tem primeru Ciscovi IP-telefoni podpirajo nadomestni strežnik EAPOL-Logoff za nadzor izmenjave pristnosti med stikalom in priključenim računalnikom.

      Za več informacij o podpori za IEEE 802.1X na stikalih Cisco Catalyst si oglejte priročnike za konfiguracijo stikala Cisco Catalyst na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogočeno: če stikalo na istih vratih ne podpira več naprav, združljivih z standardom 802.1X, onemogočite PC-vrata, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanj priključiti računalnik, stikalo onemogoči dostop do omrežja do telefona in računalnika.

  • Konfiguriraj glasovni VLAN: ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
    • Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko nadaljujete z uporabo glasovnega VLAN-a.
    • Onemogočeno: če stikalo ne podpira večdomenskega preverjanja pristnosti, onemogočite glasovni VLAN in razmislite o dodelitvi vrat izvornemu VLAN-u.
  • (Samo za Ciscov namizni telefon serije 9800)

    Cisco Desk Phone 9800 Series ima v PID-ju drugačno predpono kot drugi Ciscovi telefoni. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš telefon serije Cisco Desk Phone 9800.

    Na primer, PID telefona 9841 je DP-9841; lahko nastavite Radius· Uporabniško ime za začetek z DP ali vsebuje DP. Nastavite ga lahko v obeh spodnjih razdelkih:

    • Pravilnik > Pogoji > knjižnični pogoji

    • Nabori pravilnikov > pravilnikov > Pravilnik o avtorizaciji> Pravilo 1

Omogočanje preverjanja pristnosti 802.1X

Ko je omogočeno preverjanje pristnosti 802.1X, telefon za dostop do omrežja zahteva preverjanje pristnosti 802.1X. Ko je preverjanje pristnosti 802.1X onemogočeno, telefon uporabi Cisco Discovery Protocol (CDP) za pridobitev VLAN in omrežnega dostopa. Stanje transakcije in spremembo si lahko ogledate tudi v meniju telefonskega zaslona.

Ko je preverjanje pristnosti 802.1X omogočeno, lahko izberete tudi potrdilo naprave (MIC/SUDI ali po meri) za začetno včlanitev in podaljšanje certifikata. Običajno je MIC za Ciscov video telefon 8875, SUDI pa za Cisco Desk Phone 9800 Series. CDC lahko za preverjanje pristnosti uporabite samo v 802.1x.

1

Če želite omogočiti preverjanje pristnosti 802.1X, izvedite enega od naslednjih dejanj:

  • V spletnem vmesniku telefona izberite Glasovni >sistem in nastavite parameter Omogoči preverjanje pristnosti 802.1X na Da . Nato kliknite Pošlji vse spremembe.
  • V konfiguracijsko datoteko (cfg.xml) vnesite niz v tej obliki:

    <Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

    Veljavne vrednosti: Da |Ne

    Privzeto: Ne

  • V telefonu pritisnite Nastavitve the Settings hard keyin se pomaknite do razdelka Varnost omrežja in storitve > Varnostne nastavitve > 802.1X preverjanje pristnosti. Preklopite polje Preverjanje pristnosti naprave na Vklopljeno in izberite Uporabi.

    Če želite več informacij o parametrih, glejte Parametri za nastavitve strežnika proxy HTTP.

2

Izberite potrdilo (MIC ali po meri) za preverjanje pristnosti 802.1X na spletni strani telefona.

  • Za žično omrežje izberite Glasovni >sistem, izberite vrsto potrdila s spustnega seznama Potrdilo Izberite v razdelku 802.1X Preverjanje pristnosti.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):

    <Certificate_Select ua="rw">Nameščeno po meri</Certificate_Select>

    Veljavne vrednosti: Proizvodno nameščeno |Namestitev po meri

    Privzeto: Proizvodnja nameščena

  • Za brezžično omrežje izberite Voice>System, izberite vrsto potrdila s spustnega seznama Potrdilo Izberite v razdelku Wi-Fi Profil 1.

    Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom installed</Wi-Fi_Certificate_Select_1_>

    Veljavne vrednosti: Proizvodno nameščeno |Namestitev po meri

    Privzeto: Proizvodnja nameščena

Če želite več informacij o izbiri vrste potrdila na zaslonu telefona, glejte Vzpostavljanje povezave telefona z omrežjem Wi-Fi.

Parametri za preverjanje pristnosti 802.1X

Parametri

Možnosti

Privzeto

Opis

Preverjanje pristnosti naprave

Ob

Izklopljeno

Izklopljeno

Omogočite ali onemogočite preverjanje pristnosti 802.1X v telefonu.

Nastavitev parametrov lahko ohranite po registraciji telefona Out-Of-Box (OOB).

Stanje transakcije

Onemogočeno

Prikaže stanje preverjanja pristnosti 802.1X. Država je lahko (ni omejena na):

  • Preverjanje pristnosti: označuje, da postopek preverjanja pristnosti poteka.
  • Preverjena pristnost: označuje, da je pristnost telefona preverjena.
  • Onemogočeno: označuje, da je preverjanje pristnosti 802.1x v telefonu onemogočeno.

Protokol

Brez

Prikaže metodo EAP, ki se uporablja za preverjanje pristnosti 802.1X. Protokol je lahko EAP-FAST ali EAP-TLS.

Vrsta uporabniškega certifikata

Proizvodno vgrajena

Namestitev po meri

Proizvodno vgrajena

Izberite potrdilo za preverjanje pristnosti 802.1X med začetno včlanitvijo in podaljšanjem certifikata.

  • Proizvodno nameščeno – uporabljena sta certifikat Manufacturing Installed Certificate (MIC) in Secure Unique Device Identifier (SUDI).
  • Po meri – uporabljeno je potrdilo CDC (Custom Device Certificate). To vrsto potrdila lahko namestite z ročnim nalaganjem na spletno stran telefona ali z namestitvijo s strežnika SCEP (Simple Certificate Enrollment Protocol).

Ta parameter se v telefonu prikaže samo, če je omogočeno preverjanje pristnosti naprave.

Ogled informacij o varnostnih nastavitvah v telefonu

Preglednica 2. Parametri za varnostne nastavitve

Parametri

Opis

Preverjanje pristnosti 802.1XOmogoči ali onemogoči preverjanje pristnosti IEEE 802.1X.

Če želite podrobnosti, glejte Omogočanje preverjanja pristnosti 802.1X.

Vzvratna združljivost z WPA

Določa, ali je za vzpostavitev povezave z brezžičnim omrežjem ali dostopno točko (AP) združljiva najstarejša različica zaščitenega dostopa (Wi-Fi Protected Access (WPA).

  • Če je ta možnost omogočena, lahko telefon išče brezžična omrežja in vzpostavi povezavo z njimi, pri čemer so podprte vse različice WPA, vključno s sistemi WPA, WPA2 in WPA3. Poleg tega lahko telefon išče in vzpostavi povezavo z AP-ji, ki podpirajo samo najstarejšo različico WPA.
  • Če je onemogočeno (privzeto), lahko telefon išče samo brezžična omrežja in dostopne točke, ki podpirajo protokola WPA2 in WPA3, ter vzpostavi povezavo z njimi.

Ta funkcija je na voljo samo v telefonih 9861/9871/8875.

Preden začnete

Informacije o varnostnih nastavitvah si lahko ogledate v meniju telefona. Razpoložljivost informacij je odvisna od omrežnih nastavitev v vaši organizaciji.

1

Pritisnite Nastavitve.the Settings key.

2

Pomaknite se do razdelka Nastavitve omrežja in storitve > varnosti.

3

V varnostnih nastavitvah si oglejte varnostne informacije.

Nastavitev proxy strežnika

Telefon lahko konfigurirate tako, da za izboljšanje varnosti uporablja proxy strežnik. Po navadi lahko strežnik proxy HTTP zagotavlja te storitve:

  • Usmerjanje prometa med notranjimi in zunanjimi omrežji
  • Filtriranje, nadziranje ali beleženje prometa
  • Predpomnjenje odzivov za izboljšanje učinkovitosti delovanja

Strežnik proxy HTTP lahko deluje tudi kot požarni zid med telefonom in internetom. Po uspešni konfiguraciji se telefon poveže z internetom prek proxy strežnika, ki ščiti telefon pred kibernetskim napadom.

Ko je funkcija strežnika proxy HTTP konfigurirana, velja za vse programe, ki uporabljajo protokol HTTP. Na primer:

  • GDS (vkrcanje aktivacijske kode)
  • Aktivacija naprave EDOS
  • Uvajanje v Webex Cloud (prek EDOS ali GDS)
  • CA po meri
  • Nadziranje
  • Nadgradnja vdelane programske opreme
  • Poročilo o stanju telefona
  • Prenos PRT
  • XSI storitve
  • Storitve Webex

  • Trenutno funkcija podpira samo IPv4.
  • Nastavitve strežnika proxy HTTP lahko shranite po registraciji telefona Out-Of-Box.

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Voice > System.

3

V razdelku Nastavitve strežnika proxy HTTP na spustnem seznamu izberite način strežnika proxy Način in konfigurirajte povezane parametre.

Če želite več informacij o parametrih in zahtevanih parametrih za posamezen način strežnika proxy, glejte Parametri za nastavitve strežnika proxy HTTP.

4

Kliknite Submit All Changes.

Parametri za nastavitve strežnika proxy HTTP

V spodnji tabeli sta funkciji in uporabi parametrov strežnika proxy HTTP opisani v razdelku Nastavitve strežnika proxy HTTP na zavihku Glasovno > sistem v spletnem vmesniku telefona. Določa tudi sintakso niza, ki je dodana v konfiguracijsko datoteko telefona (cfg.xml) s kodo XML za konfiguriranje parametra.

ParameterOpis
Način proxyjaDoloča način strežnika proxy HTTP, ki ga uporablja telefon, ali onemogoči funkcijo strežnika proxy HTTP.
  • Samodejno

    Telefon samodejno pridobi datoteko za samodejno konfiguracijo strežnika proxy (PAC), da izbere strežnik proxy. V tem načinu lahko določite, ali želite za pridobitev datoteke PAC uporabiti protokol WPAD (Web Proxy Auto Discovery) ali ročno vnesti veljaven URL datoteke PAC.

    Za podrobnosti o parametrih glejte parametra »Samodejno odkrivanje spletnega proxyja« in »URL PAC« v tej tabeli.

  • Ročno

    Ročno morate določiti strežnik (ime gostitelja ali naslov IP) in vrata proxy strežnika.

    Če želite podrobnosti o parametrih, glejte Gostitelj strežnika proxy in vrata strežnika proxy.

  • Izklopljeno

    V telefonu onemogočite funkcijo strežnika proxy HTTP.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Mode ua="rw">Izključeno</Proxy_Mode>

  • V spletnem vmesniku telefona izberite način strežnika proxy ali onemogočite funkcijo.

Dovoljene vrednosti: Samodejno, Ročno in Izklopljeno

Privzeto: izklopljeno

Samodejno odkrivanje spletnega proxyjaDoloča, ali telefon za pridobivanje datoteke PAC uporablja protokol WPAD (Web Proxy Auto Discovery).

Protokol WPAD za samodejno iskanje datoteke samodejne konfiguracije proxyja (PAC) uporablja protokol DHCP ali DNS ali oba omrežna protokola. Datoteka PAC se uporablja za izbiro proxy strežnika za dani URL. To datoteko lahko gostite lokalno ali v omrežju.

  • Konfiguracija parametra začne veljati, ko je način strežnika proxy nastavljen na Samodejno.
  • Če parameter nastavite na Ne, morate določiti URL PAC.

    Za podrobnosti o parametru glejte parameter "URL PAC" v tej tabeli.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Web_Proxy_Auto_Discovery ua="rw">Da</Web_Proxy_Auto_Discovery>

  • V spletnem vmesniku telefona po potrebi izberite Da ali Ne .

Dovoljene vrednosti: Da in Ne

Privzeto: Da

URL za PACURL datoteke PAC.

Na primer, http://proxy.department.branch.example.com

TFTP, HTTP in HTTPS so podprti.

Če ste način strežnika proxy nastavili na Samodejno in samodejno odkrivanje spletnega proxyja na Ne , morate ta parameter konfigurirati.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <PAC_URL UA="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • V spletni vmesnik telefona vnesite veljaven URL, ki najde datoteko PAC.

Privzeto: Prazno

Gostitelj proxyjaIP-naslov ali ime gostitelja gostiteljskega strežnika proxy, do katerega lahko dostopa telefon. Na primer:

proxy.example.com

Shema (http:// ali https://) ni potrebna.

Če način strežnika proxy nastavite na Ročni, morate ta parameter konfigurirati.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Host UA="rw">proxy.example.com</Proxy_Host>

  • V spletni vmesnik telefona vnesite naslov IP ali ime gostitelja proxy strežnika.

Privzeto: Prazno

Vrata strežnika proxyŠtevilka vrat gostiteljskega strežnika proxy.

Če način strežnika proxy nastavite na Ročni, morate ta parameter konfigurirati.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Port UA="rw">3128</Proxy_Port>

  • V spletni vmesnik telefona vnesite vrata strežnika.

Privzeta vrednost: 3128

Preverjanje pristnosti strežnika proxyDoloča, ali mora uporabnik navesti poverilnice za preverjanje pristnosti (uporabniško ime in geslo), ki jih zahteva strežnik proxy. Ta parameter je konfiguriran glede na dejansko vedenje proxy strežnika.

Če parameter nastavite na Da, morate konfigurirati Uporabniško ime in Geslo.

Za podrobnosti o parametrih glejte parameter "Uporabniško ime" in "Geslo" v tej tabeli.

Konfiguracija parametra začne veljati, ko je način strežnika proxy nastavljen na Ročno .

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Authentication ua="rw">Ne</Proxy_Authentication>

  • V spletnem vmesniku telefona po potrebi nastavite to polje » Da« ali »Ne «.

Dovoljene vrednosti: Da in Ne

Privzeto: Ne

Uporabniško imeUporabniško ime za uporabnika poverilnic v strežniku proxy.

Če je možnost Način strežnika proxy nastavljena na Manual (Ročno in Preverjanje pristnosti strežnika proxy) nastavljeno na Da, morate konfigurirati parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Username ua="rw">Primer</Proxy_Username>

  • V spletni vmesnik telefona vnesite uporabniško ime.

Privzeto: Prazno

GesloGeslo določenega uporabniškega imena za namen preverjanja pristnosti pooblaščenca.

Če je možnost Način strežnika proxy nastavljena na Manual (Ročno in Preverjanje pristnosti strežnika proxy) nastavljeno na Da, morate konfigurirati parameter.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Proxy_Password ua="rw">Primer</Proxy_Password>

  • V spletni vmesnik telefona vnesite veljavno geslo za preverjanje pristnosti posrednika uporabnika.

Privzeto: Prazno

Preglednica 3. Zahtevani parametri za vsak nadomestni način
Način proxyjaZahtevani parametriOpis
IzklopljenoN/VStrežnik proxy HTTP je v telefonu onemogočen.
RočnoGostitelj proxyja

Vrata strežnika proxy

Preverjanje pristnosti strežnika proxy: Da

Uporabniško ime

Geslo

Ročno določite proxy strežnik (ime gostitelja ali IP naslov) in vrata proxy. Če proxy strežnik zahteva preverjanje pristnosti, morate dodatno vnesti uporabniško ime in geslo.
Gostitelj proxyja

Vrata strežnika proxy

Preverjanje pristnosti strežnika proxy: ne

Ročno določite proxy strežnik. Strežnik proxy ne zahteva poverilnic za preverjanje pristnosti.
SamodejnoSamodejno odkrivanje spletnega proxyja: ne

URL za PAC

Vnesite veljaven URL PAC, da pridobite datoteko PAC.
Samodejno odkrivanje spletnega proxyja: da

Uporablja protokol WPAD za samodejno pridobivanje datoteke PAC.

Omogočanje načina, ki ga je sprožil odjemalec, za pogajanja o varnosti medijskega letala

Če želite zaščititi predstavnostne seje, lahko telefon konfigurirate tako, da s strežnikom začne pogajanja o varnosti medijskega letala. Varnostni mehanizem sledi standardom, navedenim v RFC 3329 in njegovem razširitvenem osnutku imen varnostnih mehanizmov za medije (glej https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pogajanj med telefonom in strežnikom lahko uporablja protokol SIP preko UDP, TCP in TLS. Omejite lahko, da se pogajanja o varnosti medijskega letala uporabijo samo, če je protokol prenosa signalizacije TLS.

Preglednica 4. Parametri za pogajanja o varnosti medijskega letala
ParameterOpis

Zahteva MediaSec

Določa, ali telefon s strežnikom začne pogajanja o varnosti medijskega letala.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne .

Dovoljeni vrednosti: Da|Ne

  • Da – način, ki ga je sprožil odjemalec. Telefon sproži pogajanja o varnosti medijskega letala.
  • Ne—strežniški način. Strežnik sproži pogajanja o varnosti medijskega letala. Telefon ne sproži pogajanj, vendar lahko obravnava zahteve za pogajanja iz strežnika za vzpostavljanje varnih klicev.

Privzeto: Ne

MediaSec samo več kot TLS

Določa signalizacijski transportni protokol, prek katerega se uporabljajo pogajanja o varnosti medijskega letala.

Preden nastavite to polje na Da, se prepričajte, da je protokol prenosa signalizacije TLS.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne .

Dovoljeni vrednosti: Da|Ne

  • Da – telefon sproži ali vodi pogajanja o varnosti medijskega letala samo, če je protokol prenosa signalizacije TLS.
  • Ne—Telefon sproži in vodi pogajanja o varnosti medijskega letala ne glede na protokol prenosa signalizacije.

Privzeto: Ne

1

Odprite spletno stran za skrbništvo telefona.

2

Izberite Glas> ext (n).

3

V razdelku Nastavitve SIP nastavite polji MediaSec Request in MediaSec Over TLS Only , kot je določeno v zgornji tabeli.

4

Kliknite Submit All Changes.

Varnost WLAN

Ker lahko vse WLAN naprave v dosegu sprejemajo vse druge WLAN prometa, je zaščita glasovne komunikacije v omrežjih WLAN ključnega pomena. Da vsiljivci ne bi manipulirali ali prestregli glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rešitev za brezžično telefonijo Cisco Wireless IP zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščeno prijavo in ogroženo komunikacijo z naslednjimi načini preverjanja pristnosti, ki jih telefon podpira:

  • Odpri preverjanje pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri avtentikacijo kateremu koli vlagatelju zahteve ali samo vlagateljem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) morda ni šifrirana.

  • Prilagodljivo preverjanje pristnosti s protokolom razširljive avtentikacije s preverjanjem pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira EAP transakcije v tunelu Transport Level Security (TLS) med AP in strežnikom RADIUS, kot je Identity Services Engine (ISE).

    Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje ID organa (AID) odjemalcu (telefonu), ta pa nato izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je TLS tunel. EAP-FAST podpira samodejno omogočanje PAC, vendar ga morate omogočiti v strežniku RADIUS.

    V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri zagotavljanju PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

  • Preverjanje pristnosti razširljivega protokola preverjanja pristnosti – varnost na prenosni plasti (EAP-TLS): EAP-TLS zahteva potrdilo odjemalca za preverjanje pristnosti in omrežni dostop. Pri brezžičnem EAP-TLS je potrdilo odjemalca lahko MIC, LSC ali uporabniško nameščeno potrdilo.

  • Protected Extensible Authentication Protocol (PEAP): Ciscova shema vzajemnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

  • Ključ v vnaprejšnji skupni rabi (PSK): telefon podpira ASCII obliko zapisa. To obliko zapisa morate uporabiti pri nastavljanju ključa v vnaprejšnji skupni rabi WPA/WPA2/SAE:

    ASCII: niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male in velike črke A–Z ter posebni znaki)

    Primer: GREG123567@9ZX&W

Naslednje sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

  • WPA/WPA2/WPA3: uporablja informacije o strežniku RADIUS za ustvarjanje enoličnih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni v centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot WPA ključi v vnaprejšnji skupni rabi, ki so shranjeni v AP in telefonu.

  • Hitro varno gostovanje: uporablja informacije strežnika RADIUS in strežnika brezžične domene (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti. Namizni telefoni Cisco 9861 in 9871 ter Ciscov video telefon 8875 podpirajo 802.11r (FT). Tako po zraku kot nad vozilom DS je podprto, kar omogoča hitro in varno gostovanje. Vendar močno priporočamo uporabo metode 802.11r (FT) nad zrakom.

Pri WPA/WPA2/WPA3 šifrirni ključi niso vneseni v telefon, temveč se samodejno izpeljejo med AP in telefonom. Toda EAP uporabniško ime in geslo, ki se uporabljata za preverjanje pristnosti, je treba vnesti na vsakem telefonu.

Za zagotovitev varnosti glasovnega prometa telefon podpira TKIP in AES za šifriranje. Kadar se ti mehanizmi uporabljajo za šifriranje, so signalni paketi SIP in glasovni paketi Real-Time Transport Protocol (RTP) šifrirani med AP in telefonom.

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP zagotavlja šifriranje ključev na paket in daljše vektorje inicializacije (IV), ki krepijo šifriranje. Poleg tega preverjanje celovitosti sporočila (MIC) zagotavlja, da se šifrirani paketi ne spreminjajo. TKIP odpravlja predvidljivost WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Način šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima isti ključ za šifriranje in dešifriranje. AES uporablja šifriranje verige blokiranja šifer (CBC) velikosti 128 bitov, ki podpira vsaj velikosti ključev 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

Namizni telefoni Cisco 9861 in 9871 ter videotelefon Cisco 8875 ne podpirajo protokola Cisco Key Integrity Protocol (CKIP) s CMIC.

V brezžičnem lokalnem omrežju (WLAN) so nastavljene sheme za preverjanje pristnosti in šifriranje. VLAN-i so konfigurirani v omrežju in na dostopnih točkah ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID se poveže z VLAN-om in določeno shemo preverjanja pristnosti in šifriranja. Za uspešno overjanje brezžičnih odjemalskih naprav morate na dostopnih točkah in telefonu konfigurirati enaka SSID-ja z njihovimi shemami overjanja in šifriranja.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

  • Ko uporabljate vnaprej deljeni ključ WPA, vnaprej deljeni ključ WPA2 ali SAE, mora biti vnaprej deljeni ključ statično nastavljen v telefonu. Ti ključi se morajo ujemati s ključi, ki so na dostopni točki.

  • Telefon podpira samodejno pogajanje EAP za FAST ali PEAP, ne pa za TLS. Za način EAP-TLS ga morate določiti.

Sheme preverjanja pristnosti in šifriranja v naslednji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustreza konfiguraciji dostopne točke.

Tabela 5. Sheme preverjanja pristnosti in šifriranja
Vrsta FSRAvtentikacijaUpravljanje ključevŠifriranjeZaščiten okvir upravljanja (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNe
802.11r (FT)WPA3

SAE

FT-SAE

AESda
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNe
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESda

Nastavite Wi-Fi profil

Profil Wi-Fi lahko konfigurirate na spletni strani telefona ali z vnovično sinhronizacijo profila oddaljene naprave, nato pa povežete profil z razpoložljivimi omrežji Wi-Fi. Ta profil Wi-Fi lahko uporabite za povezavo z omrežjem Wi-Fi. Trenutno je mogoče konfigurirati samo en profil Wi-Fi.

Profil vsebuje parametre, ki so potrebni, da se telefoni povežejo s telefonskim strežnikom prek omrežja Wi-Fi. Ko ustvarite in uporabljate profil Wi-Fi, vam ali vašim uporabnikom ni treba konfigurirati brezžičnega omrežja za posamezne telefone.

Profil Wi-Fi omogoča, da uporabniku preprečite ali omejite spreminjane konfiguracije Wi-Fi na telefonu.

Priporočamo, da pri uporabi profila Wi-Fi uporabite varen profil z omogočenimi protokoli za šifriranje, da zaščitite ključe in gesla.

Ko nastavite telefone za uporabo metode preverjanja pristnosti EAP-FAST v varnostnem načinu, vaši uporabniki potrebujejo individualne poverilnice za povezavo z dostopno točko.

1

Dostopite do spletne strani telefona.

2

Izberite Glasovni sistem .

3

V razdelku Wi-Fi Profil (n) nastavite parametre, kot je opisano v naslednji tabeli Parametri za profil Wi-Fi.

Konfiguracija profila Wi-Fi je na voljo tudi za prijavo uporabnika.
4

Kliknite Submit All Changes.

Parametri za profil Wi-Fi

Spodnja tabela definira funkcijo in uporabo vsakega parametra v razdelku Profil Wi-Fi(n) na zavihku Sistem na spletni strani telefona. Prav tako določa sintakso niza, ki se doda v konfiguracijsko datoteko telefona (cfg.xml) za konfiguracijo parametra.

ParameterOpis
Ime omrežjaOmogoča, da vnesete ime za SSID, ki bo prikazano v telefonu. Več profilov lahko uporablja enako ime omrežja z različnim varnostnim načinom.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Ime_omrežja_1_ua="rw">cisco</Ime_omrežja_1_>

  • Na spletni strani telefona vnesite ime za SSID.

Privzeto: Prazno

Varnostni načinOmogoča, da izberete način preverjanja pristnosti, ki je uporabljen za zaščito dostopa do omrežja Wi-Fi. Glede na izbrano metodo se prikaže polje za geslo, v katerega lahko vnesete poverilnice, potrebne za pridružitev temu omrežju Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- razpoložljive možnosti: Samodejno|EAP-FAST|||PSK||Brez|EAP-PEAP|EAP-TLS -->

  • Na spletni strani telefona izberite eno od metod:
    • Samodejno
    • EAP-FAST
    • PSK
    • Brez
    • EAP-PEAP
    • EAP-TLS

Privzeto: samodejno

ID uporabnika za Wi-FiOmogoča, da vnesete ID uporabnika za profil omrežja.

To polje je na voljo, če varnostni način nastavite na Samodejno, EAP-FAST ali EAP-PEAP. To polje je obvezno; njegova največja dovoljena dolžina je 32 alfanumeričnih znakov.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na spletni strani telefona vnesite uporabniški ID za omrežni profil.

Privzeto: Prazno

Geslo za Wi-FiOmogoča, da vnesete geslo za podano uporabniško ime za Wi-Fi.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na spletni strani telefona vnesite geslo za uporabniški ID, ki ste ga dodali.

Privzeto: Prazno

Frekvenčni pasOmogoča, da izberete frekvenčni pas brezžičnega signala, ki ga uporablja omrežje WLAN.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Frekvenčni_pas_1_ ua="rw">Samodejno</Frekvenčni_pas_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Samodejno
    • 2,4 GHz
    • 5 GHz

Privzeto: samodejno

Izbira potrdilaOmogoča vam izbiro vrste potrdila za začetni vpis in podaljšanje potrdila v brezžičnem omrežju. Ta postopek je na voljo samo za preverjanje pristnosti 802.1X.

Izvedite eno od naslednjega:

  • V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki:

    <Certificate_Select_1_ ua="rw">Nameščena proizvodnja<//Certificate_Select_1_>

  • Na spletni strani telefona izberite eno od možnosti:
    • Nameščena proizvodnja
    • Nameščeno po meri

Privzeto: Nameščena proizvodnja

Preverite stanje varnosti naprave na telefonu

Vaš telefon samodejno preveri varnostno stanje naprave. Če v telefonu zazna morebitne varnostne grožnje, lahko v meniju Težave in diagnostika prikažejo podrobnosti o težavah. Na podlagi prijavljenih težav lahko vaš skrbnik izvede ukrepe za zaščito in okrepitev vašega telefona.

Varnostni status naprave je na voljo, preden je telefon registriran v sistemu za nadzor klicev (Webex Calling ali BroadWorks).

Če si želite ogledati podrobnosti o varnostnih težavah v telefonu, naredite naslednje:

1

Pritisnite Nastavitve.Settings button

2

Izberite Težave in diagnostika > Težave.

Trenutno poročilo o varnosti naprave vsebuje naslednje težave:

  • Zaupanje naprave
    • Preverjanje pristnosti naprave ni uspelo
    • Strojna oprema spremenjena
  • Ranljiva konfiguracija
    • Geslo ni bilo vneseno
    • SSH omogočen
    • Telnet omogočen
  • Zaznana omrežna anomalija
    • Prekomerni poskusi prijave
  • Izdaja potrdila
    • Potrdilo CDC bo kmalu poteklo

3

Za podporo pri odpravljanju varnostnih težav se obrnite na skrbnika.