Cisco IP безпеку телефону на 9800/8875 (мультиплатформенний)

Сертифікат пристрою може бути автоматично поновлений за допомогою процесу SCEP.

• Телефон кожні 4 години перевіряє, чи закінчиться термін дії сертифіката через 15 днів. Якщо так, телефон автоматично розпочне процес оновлення сертифіката.
• Якщо пароль виклику порожній, телефон використовує MIC/SUDI як для початкової реєстрації, так і для поновлення сертифіката. Якщо пароль виклику налаштований, він використовується лише для початкової реєстрації, існуючий/встановлений сертифікат використовується для продовження сертифіката.
• Телефон не видаляє старий сертифікат пристрою, доки не отримає новий.
• Якщо не вдається оновити сертифікат через закінчення терміну дії сертифіката пристрою або центру сертифікації, телефон автоматично ініціює початкову реєстрацію. Тим часом, якщо автентифікація за допомогою пароля виклику не вдається, на екрані телефону з'являється екран введення пароля, і користувачам пропонується ввести пароль виклику на телефоні.

IP-телефони Cisco підтримують автентифікацію 802.1X.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію. CDP не ідентифікує локально під’єднані робочі станції. IP-телефони Cisco IP Phones забезпечують механізм фільтрації EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефона Cisco, передавати повідомлення EAPOL автентифікатору 802.1X на комутаторі локальної мережі. Механізм фільтрації гарантує, що IP-телефон не працюватиме як комутатор локальної мережі для автентифікації кінцевої точки даних, перш ніж отримає доступ до мережі.

IP-телефони Cisco також підтримують надсилання повідомлення EAPOL Logoff через проксі-сервер. Якщо локально під’єднаний ПК відключається від IP-телефона, комутатор локальної мережі не бачить збою фізичного зв’язку, тому що з’єднання між комутатором локальної мережі й IP-телефоном зберігається. Щоб уникнути порушення цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені низхідного ПК, після чого комутатор локальної мережі видаляє запис про автентифікацію цього ПК.

Для роботи автентифікації 802.1X потрібно кілька компонентів:

• IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

• Сервер автентифікації: сервер автентифікації та комутатор мають бути налаштовані зі спільним секретом, який автентифікує телефон.

• Комутатор. Комутатор має підтримувати стандарт 802.1X, щоб виконувати роль автентифікатора й передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Щоб налаштувати 802.1X:

• Налаштуйте решту компонентів, перш ніж вмикати автентифікацію 802.1X на телефоні.

• Налаштуйте порт ПК. Стандарт 802.1X не враховує VLAN, а тому рекомендовано автентифікувати лише один пристрій для конкретного порту комутатора. Однак деякі комутатори підтримують багатодоменну автентифікацію. Конфігурація комутатора визначає, чи можна підключити ПК до порту ПК телефона.

  • Увімкнення. Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, то можете ввімкнути порт ПК та підключити до нього ПК. Для таких випадків IP-телефони Cisco підтримують надсилання EAPOL-Logoff через проксі-сервер, щоб стежити за обміном автентифікацією між комутатором і підключеним ПК.

    Додаткові відомості про підтримку стандарту IEEE 802.1X на комутаторах Cisco Catalyst див. в посібниках із конфігурації комутатора Cisco Catalyst за адресою:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Вимкнення. Якщо комутатор не підтримує на одному порту кілька пристроїв, сумісних зі стандартом 802.1X, то в разі ввімкнення автентифікації 802.1X потрібно вимикати порт ПК. Якщо ви не вимкнете цей порт, а потім спробуєте під’єднати до нього ПК, комутатор відмовить у доступі до мережі як телефону, так і ПК.

• Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.
  • Підтримується. Якщо ваш комутатор підтримує багатодоменну автентифікацію, то можете використовувати його й надалі для голосової VLAN.
  • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
• (Лише для настільних телефонів Cisco серії 9800)

  Cisco Desk Phone серії 9800 має інший префікс у PID, ніж для інших телефонів Cisco. Щоб ваш телефон пройшов автентифікацію 802.1X, встановіть радіус · User-Name , щоб включити ваш настільний телефон Cisco серії 9800.

  Наприклад, PID телефону 9841 – DP-9841; ви можете встановити Радіус· ім'я користувача для початку з DP або містить DP. Ви можете встановити його в обох наступних розділах:

  • Політика > Умови > Умови бібліотеки

  • Політика > Набори політик> Політика авторизації> Правило авторизації 1

Оскільки всі пристрої WLAN у межах досяжності можуть приймати будь-який інший трафік WLAN, захист голосового зв’язку у WLAN має вирішальне значення. Щоб зловмисники не маніпулювали і не перехоплювали голосовий трафік, телефон підтримує архітектура Cisco SAFE Security. Додаткові відомості про безпеку в мережах див. на сторінці http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Рішення для бездротової IP-телефонії Cisco забезпечує безпеку бездротової мережі, яка запобігає несанкціонованому входу та скомпрометованому зв'язку за допомогою таких методів автентифікації, які підтримує телефон:

• Відкрита автентифікація. Будь-який бездротовий пристрій може подати запит на автентифікацію у відкритій системі. Точка доступу, яка отримує запит, може надавати автентифікацію будь-якому запитувачу або тільки запитувачам зі списку користувачів. Зв'язок між безпроводовим пристроєм і точкою доступу (AP) може бути незашифрованим.

• Розширюваний протокол автентифікації – гнучка автентифікація за допомогою безпечного тунелювання (EAP-FAST): ця клієнт-серверна архітектура безпеки шифрує транзакції EAP у тунелі Transport Level Security (TLS) між точкою доступу та сервером RADIUS, наприклад Identity Services Engine (ISE).

  Тунель TLS використовує захищені облікові дані доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає клієнту (телефону) ідентифікатор центру сертифікації (AID), який у свою чергу вибирає відповідні облікові дані PAC. Клієнт (телефон) повертає на сервер RADIUS повідомлення PAC-Opaque. Сервер розшифровує PAC за допомогою головного ключа. Обидва кінцеві пристрої тепер містять ключ PAC. Також створюється тунель TLS. EAP-FAST підтримує автоматичне надсилання PAC, але цю функцію потрібно ввімкнути на сервері RADIUS.

  У ISE, за замовчуванням, термін дії PAC закінчується через один тиждень. Якщо на телефоні закінчився термін дії PAC, автентифікація на сервері RADIUS займатиме більше часу, доки телефон не отримає нові облікові дані PAC. Щоб уникнути затримок у надсиланні даних PAC, установіть на сервері ISE або RADIUS термін дії PAC принаймні 90 днів.

• Розширюваний протокол автентифікації з протоколом безпеки транспортного рівня (EAP-TLS). Для автентифікації та доступу до мережі за допомогою EAP-TLS потрібен сертифікат клієнта. Для бездротового EAP-TLS сертифікатом клієнта може бути MIC, LSC або встановлений користувачем сертифікат.

• Захищений розширюваний протокол автентифікації (PEAP). Розроблена Cisco схема взаємної автентифікації на основі пароля між клієнтом (телефоном) і сервером RADIUS. Телефон може використовувати PEAP для автентифікації в бездротовій мережі. Підтримуються обидва методи автентифікації – PEAP-MSCHAPV2 й PEAP-GTC.

• Попередній спільний ключ (PSK): телефон підтримує формат ASCII. Під час налаштування спільного ключа WPA/WPA2/SAE потрібно використовувати такий формат:

  ASCII. Рядок ASCII-символів довжиною від 8 до 63 символів (цифри від 0 до 9, малі та великі літери від A до Z і спеціальні символи).

  Приклад: GREG123567@9ZX&Б

Нижче наведено схеми автентифікації, які використовують керування ключами автентифікації сервер RADIUS.

• WPA/WPA2/WPA3: використовує інформацію про сервер RADIUS для генерації унікальних ключів для автентифікації. Ці ключі створюються на централізованому сервері RADIUS, тому WPA2/WPA3 забезпечує кращий захист, ніж заздалегідь установлені ключі WPA, які зберігаються в AP й на телефоні.

• Швидкий безпечний роумінг – використовує інформацію про сервер RADIUS і сервер бездротового домену (WDS) для контролю та автентифікації ключів. WDS створює кеш облікових даних безпеки для клієнтських пристроїв з підтримкою FT для швидкої та безпечної повторної автентифікації. Cisco Desk Phone 9861 і 9871 і Cisco Video Phone 8875 підтримують стандарт 802.11r (FT). Підтримуються як по повітрю, так і по DS, що забезпечує швидкий безпечний роумінг. Однак ми наполегливо рекомендуємо використовувати 802.11r (FT) замість методу оновлення "через повітря".

У WPA/WPA2/WPA3 ключі шифрування не вводяться на телефоні, а автоматично виводяться між точкою доступу та телефоном. Однак ім’я користувача й пароль EAP, які використовуються для автентифікації, потрібно ввести на кожному з телефонів.

Щоб забезпечити безпеку голосового трафіку, телефон підтримує шифрування TKIP і AES. Коли ці механізми використовуються для шифрування, як сигнальні SIP-пакети, так і голосові пакети Real-Time Transport Protocol (RTP) шифруються між точкою доступу та телефоном.

TKIP

WPA використовує шифрування TKIP, яке має кілька вдосконалень порівняно з WEP. TKIP забезпечує шифрування ключа окремо для кожного пакета й довші вектори ініціалізації (ВІ), які посилюють шифрування. Крім того, перевірка цілісності повідомлень гарантує, що зашифровані пакети не буде змінено. TKIP усуває передбачуваність WEP, яка допомагає зловмисникам розшифрувати WEP-ключ.

AES

Метод шифрування, який використовується для автентифікації WPA2/WPA3. Цей національний стандарт шифрування використовує симетричний алгоритм, який має однаковий ключ для шифрування та дешифрування. AES використовує зчеплення шифроблоків (CBC) розміром 128 біт, яке підтримує мінімальні розміри ключів 128 біт, 192 біта й 256 біт. Телефон підтримує розмір ключа 256 біт.

Схеми автентифікації та шифрування налаштовуються в межах бездротової локальної мережі. Мережі VLAN налаштовуються в мережі й точках доступу, задаючи різні комбінації автентифікації та шифрування. SSID прив’язується до VLAN й особливої схеми автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв необхідно налаштувати однакові SSID з їхніми схемами автентифікації та шифрування на точках доступу та на телефоні.

Деякі схеми автентифікації вимагають конкретних типів шифрування.

Схеми автентифікації та шифрування в наступній таблиці показують параметри конфігурації мережі для телефону, що відповідає конфігурації точки доступу.