Cisco IP 전화기 보안

전화기 네트워크의 보안 강화

Cisco Unified Communications Manager 11.5(1) 이상 버전을 활성화하고 나중에 강화된 보안 환경에서 작동할 수 있습니다. 이러한 개선 기능을 이용하여 전화기 네트워크는 일련의 엄격한 보안 및 위험 관리 제어를 통해 여러분과 사용자를 보호합니다.

향상된 보안 환경에는 다음과 같은 기능이 포함됩니다.

  • 연락처 검색 인증.

  • 원격 감사 로깅을 위한 기본 프로토콜로서의 TCP입니다.

  • FIPS 모드.

  • 향상된 자격 증명 정책입니다.

  • 디지털 서명을 위한 해시의 SHA-2 제품군을 지원합니다.

  • 512 및 4096비트의 RSA 키 크기를 지원합니다.


참고
Cisco IP 전화기는 제한된 수의 신뢰 목록(ITL) 파일만 저장할 수 있습니다. ITL 파일은 전화상으로 64K 제한을 초과할 수 없으므로 Cisco Unified Communications Manager가 전화기로 전송하는 파일 수를 제한하십시오.

SIP OAuth 지원

SIP OAuth 모드를 사용하면 전화기 인증을 위해 OAuth 새로 고침 토큰을 사용할 수 있습니다.

Cisco Unified Communications Manager(Unified CM)는 전화기에서 제공하는 토큰을 확인하고 인증된 토큰에만 구성 파일을 제공합니다. SIP 등록 중 OAuth 토큰 유효성 검사는 Unified CM 클러스터 및 Cisco IP 전화기에서 OAuth 기반 인증이 활성화될 때 완료됩니다.

Cisco IP 전화기는 프록시 TFTP(Proxy Trivial File Transfer Protocol) 및 Cisco Unified Survivable Remote Site Telephony(SRST)에서 SIP OAuth 인증을 지원합니다.

  • TFTP의 SIP OAuth 요구 사항:

    • Cisco Unified Communications Manager 릴리스 14.0(1)SU1 이상

    • Cisco IP 전화기 펌웨어 릴리스 14.1(1) 이상


    참고

    MRA(Mobile Remote Access)에서는 프록시 TFTP 및 프록시 TFTP용 OAuth가 지원되지 않습니다.

  • SRST의 SIP OAuth 요구 사항:

    • Cisco Unified Communications Manager 14.0(1)SU1 이상

    • Cisco IP 전화기 펌웨어 릴리스 14.2(1) 이상

    • Cisco SRST 소프트웨어 릴리스: IOS XE 17.8.1a 이상

    • Cisco SRST 하드웨어 모델: ISR1100, ISR43xx, ISR44xx, Catalyst 8200 또는 Catalyst 8300 플랫폼

SIP OAuth를 구성하는 방법에 대한 자세한 내용은 Cisco Unified Communications Manager 보안 설명서SIP OAuth 모드를 참조하십시오.

전화기 보안에 대한 자세한 내용을 찾을 수 있는 위치

보안에 대한 자세한 내용은 다음 내용을 참조하십시오.

지원 보안 기능

보안 기능은 전화기의 ID나 데이터에 대한 위협을 비롯한 몇몇 위협으로부터 전화기를 보호합니다. 이 기능은 전화기와 Cisco Unified Communications Manager 서버 사이에서 인증된 통신 스트림을 설정하고 유지하여, 전화기가 디지털 서명된 파일만 사용하게 합니다.

Cisco Unified Communications Manager 릴리스 8.5(1) 이상에는 기본값 보안이 포함되는데, 이는 CTL 클라이언트를 실행하지 않고도 Cisco IP 전화기에 다음과 같은 보안 기능을 제공합니다.

  • 전화기 구성 파일 서명

  • 전화기 구성 파일 암호화

  • Tomcat 및 기타 웹 서비스를 사용하는 HTTPS


참고

보안 시그널링 및 미디어 기능은 여전히 CTL 클라이언트 실행 및 하드웨어 eTokens 사용을 요구합니다.

Cisco Unified Communications Manager 시스템에 보안을 구현하면 전화기 및 Cisco Unified Communications Manager 서버의 ID 도난을 방지하고, 데이터 변조를 방지하고, 통화 시그널링 및 미디어 스트림 변조를 방지합니다.

이러한 위협을 완화하기 위해 Cisco IP 텔레포니 네트워크는 전화기와 서버 간에 보안(암호화된) 통신 스트림을 설정하고 유지 보수하고, 파일이 전화기로 전송되기 전에 파일에 디지털로 서명하고, Cisco IP 전화기 간에 미디어 스트림 및 통화 시그널링을 암호화합니다.

LSC(Locally Significant Certificate)는 CAPF(Certificate Authority Proxy Function)와 관련된 필수 작업을 수행한 후 전화기에 설치됩니다. Cisco Unified Communications Manager Administration을 사용하여 Cisco Unified Communications Manager 보안 설명서에 설명된 대로, LSC를 구성할 수 있습니다. 또는 전화기의 [보안 설정] 메뉴에서 LSC 설치를 시작할 수도 있습니다. 이 메뉴에서는 LSC를 업데이트하거나 삭제할 수도 있습니다.

LSC는 WLAN 인증을 사용하는 EAP-TLS의 사용자 인증서로 사용할 수 없습니다.

전화기는 장치가 비보안인지 보안인지를 정의하는 전화기 보안 프로파일을 사용합니다. 전화기에 보안 프로파일을 적용하는 작업에 관한 자세한 내용은 특정 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

Cisco Unified Communications Manager Administration에서 보안 관련 설정을 구성할 경우 전화기 구성 파일은 중요한 정보를 포함합니다. 구성 파일의 프라이버시를 보장하려면 암호화에 대한 설정을 구성해야 합니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

Cisco IP 전화기 8800 시리즈는 FIPS(Federal Information Processing Standard)를 준수합니다. 올바르게 작동하려면 FIPS 모드는 2048비트 이상의 키 크기가 필요합니다. 인증서가 2048비트 이상이 아닌 경우 전화기가 Cisco Unified Communications Manager에 등록되지 않고 전화기 등록에 실패합니다. 인증서의 키 크기가 FIPS와 호환되지 않습니다. 가 전화기에 표시됩니다.

전화기에 LSC가 있는 경우 FIPS를 활성화하기 전에 LSC 키 크기를 2048비트 이상으로 업데이트해야 합니다.

다음 표에는 전화기에서 지원하는 보안 기능에 대한 개요가 나와 있습니다. 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

보안 모드, 신뢰 목록 및 802.1 X 인증을 포함하여 전화기에서 현재 보안 설정을 보려면 애플리케이션을 누르고 관리자 설정 > 보안 설정을 선택합니다.

표 1. 보안 기능 개요

기능

설명

이미지 인증

서명된 이진 파일(확장자 .sbn)이 이미지를 전화기에 로드하기 전에 펌웨어 이미지를 변경할 수 없게 합니다.

이미지를 함부로 변경하면 인증 프로세스에 실패하여 새 이미지를 거부합니다.

이미지 암호화

암호화된 이진 파일(확장자 .sebn)이 이미지를 전화기에 로드하기 전에 펌웨어 이미지를 변경할 수 없게 합니다.

이미지를 함부로 변경하면 인증 프로세스에 실패하여 새 이미지를 거부합니다.

고객 사이트 인증서 설치

각 Cisco IP 전화기에는 장치 인증을 위한 고유 인증서가 필요합니다. 전화기에는 MIC(Manufacturing Installed Certificate)가 포함되어 있지만, 추가 보안을 위해 CAPF(Certificate Authority Proxy Function)를 사용하여 Cisco Unified Communications Manager Administration에 인증서 설치를 지정할 수 있습니다. 또는 전화기의 보안 구성 메뉴에서 LSC(Locally Significant Certificate)를 설치할 수도 있습니다.

장치 인증

각 개체가 다른 개체의 인증서를 수락할 때는 Cisco Unified Communications Manager 서버와 전화기 사이에서 이루어집니다. 전화기와 Cisco Unified Communications Manager 간에 보안 연결을 시행할 것인지를 결정하고 필요할 경우, TLS 프로토콜을 사용해 개체 간에 안전한 시그널링 경로를 구축합니다. Cisco Unified Communications Manager는 전화기를 인증할 수 없으면 전화기를 등록하지 않습니다.

파일 인증

전화기에서 다운로드한 디지털 서명 파일을 확인합니다. 전화기는 파일이 작성된 후에 부당한 파일 변경이 일어나지 않았다는 것을 확인하기 위해 서명을 확인합니다. 인증에 실패한 파일은 전화기의 플래시 메모리에 기록되지 않습니다. 전화기는 그러한 파일의 경우 추가 처리 없이 거부합니다.

파일 암호화

암호화는 파일이 전화기로 전송되는 과정에서 중요 정보가 노출되지 않게 합니다. 뿐만 아니라, 전화기는 파일이 작성된 후에 부당한 파일 변경이 일어나지 않았다는 것을 확인하기 위해 서명을 확인합니다. 인증에 실패한 파일은 전화기의 플래시 메모리에 기록되지 않습니다. 전화기는 그러한 파일의 경우 추가 처리 없이 거부합니다.

시그널링 인증

TLS 프로토콜을 사용해 전송되는 동안 시그널링 패킷에 변조되지 않았는지를 확인합니다.

MIC(Manufacturing Installed Certificate)

각 Cisco IP 전화기에는 장치 인증에 사용할 고유한 MIC(Manufacturing Installed Certificate)가 포함되어 있습니다. MIC는 전화기의 ID를 증명하는 고유한 영구 증명서를 제공하고, Cisco Unified Communications Manager는 이를 사용해 전화기를 인증합니다.

미디어 암호화

SRTP를 사용하면 지원 장치들 간의 미디어 스트림이 안전하다는 것을 증명하고, 의도한 장치에서만 데이터를 주고 받도록 할 수 있습니다. 여기에는 장치를 위해 미디어 기본 키 한 쌍을 생성하고, 장치에 이 키를 전달하며, 키가 전송되는 동안 키의 전달을 안전하게 보호하는 일도 포함됩니다.

CAPF(Certificate Authority Proxy Function)

지나치게 프로세싱 집약적인 인증서 생성 절차의 일부를 수행하고, 키 생성 및 인증서 설치를 위해 전화기와 상호 작용합니다. CAPF는 전화기를 대신해 고객이 지정한 인증 기관에 인증서를 요청하도록 구성할 수도 있고, 로컬에서 인증서를 생성하도록 구성할 수도 있습니다.

보안 프로파일

전화기의 비보안, 인증, 암호화 또는 보호 여부를 정의합니다. 이 표의 기타 항목에서 보안 기능을 설명합니다.

암호화된 구성 파일

전화기 구성 파일의 프라이버시를 보장할 수 있습니다.

전화기에 대한 선택적 웹 서버 비활성화

보안 목적을 위해 전화기에 대한 웹 페이지(전화기에 대한 다양한 작업 통계를 표시함) 및 셀프 케어 포털에 대한 액세스를 방지할 수 있습니다.

전화기 강화

Cisco Unified Communications Manager Administration에서 제어하는 추가 보안 옵션:

  • PC 포트 비활성화
  • GARP(Gratuitous ARP) 비활성화
  • PC 음성 VLAN 액세스 비활성화
  • 설정 메뉴 액세스 비활성화 또는 기본 설정 메뉴 액세스를 허용하는 제한된 액세스 제공 또는 볼륨 변경 사항만 저장
  • 전화기 웹 페이지 액세스 비활성화
  • 블루투스 액세서리 포트 비활성화

  • TLS 암호화 제한

802.1X 인증

Cisco IP 전화기는 네트워크에 액세스 권한을 요청하고 확보하는 데 802.1X 인증을 사용할 수 있습니다. 자세한 내용은 802.1X 인증를 참조하십시오.

SRST용 보안 SIP 페일오버

보안을 위해 SRST(Survivable Remote Site Telephony) 참조를 구성하고 Cisco Unified Communications Manager Administration에서 종속 장치를 재설정하고 나면, TFTP 서버에서 전화기의 cnf.xml 파일에 SRST 인증서를 추가하고 전화기에 해당 파일을 전송합니다. 그럼 보안이 이루어진 전화기는 SRST 활성화 라우터와 상호 작용하는 데 TLS 연결을 사용합니다.

시그널링 암호화

장치와 Cisco Unified Communications Manager 서버 간에 전송된 모든 SIP 시그널링 메시지가 암호화되도록 합니다.

신뢰 목록 업데이트 알람

전화기에 신뢰 목록 업데이트가 있으면 Cisco Unified Communications Manager는 업데이트의 성공 또는 실패를 나타내는 알람을 수신합니다. 자세한 내용은 다음 표를 참조하십시오.

AES 256 암호화

Cisco Unified Communications Manager 릴리스 10.5(2) 또는 그 이후 버전에 연결하면, 전화기는 시그널링 및 미디어 암호화를 위해 TLS 및 SIP를 위한 AES 256 암호화 지원을 지원합니다. 이렇게 하면 전화기에서 SHA-2(Secure Hash Algorithm) 표준을 따르고 FIPS(Federal Information Processing Standards)를 준수하는 AES-256 기반 암호를 사용해 TLS 1.2 연결을 시작하고 지원할 수 있습니다. 암호에는 다음이 포함됩니다.

  • TLS 연결용:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP용:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

자세한 내용은 Cisco Unified Communications Manager 문서를 참조하십시오.

ECDSA(Elliptic Curve Digital Signature Algorithm) 인증서

Cisco Unified Communications Manager는 CC(공통 평가 기준) 인증의 일부로 버전 11.0에 ECDSA 인증서를 추가했습니다. 이는 CUCM 11.5 이상 버전의 모든 VOS(Voice Operating System) 제품에 영향을 줍니다.

다음 표는 신뢰 목록 업데이트 알람 메시지와 의미를 포함합니다. 자세한 내용은 Cisco Unified Communications Manager 문서를 참조하십시오.

표 2. 신뢰 목록 업데이트 알람 메시지
코드와 메시지 설명

1 - TL_SUCCESS

새 CTL 및/또는 ITL을 수신했음

2 - CTL_INITIAL_SUCCESS

새 CTL을 수신했음, 기존 TL 없음

3 - ITL_INITIAL_SUCCESS

새 ITL을 수신했음, 기존 TL 없음

4 - TL_INITIAL_SUCCESS

새 CTL 및 ITL을 수신했음, 기존 TL 없음

5 - TL_FAILED_OLD_CTL

새 CTL 업데이트 실패, 이전 TL이 있음

6 - TL_FAILED_NO_TL

새 TL 업데이트 실패, 이전 TL 없음

7 - TL_FAILED

일반 실패

8 - TL_FAILED_OLD_ITL

새 ITL 업데이트 실패, 이전 TL이 있음

9 - TL_FAILED_OLD_TL

새 TL 업데이트 실패, 이전 TL이 있음

보안 설정 메뉴는 다양한 보안 설정에 대한 정보를 제공합니다. 또한 메뉴는 신뢰 목록 메뉴에 대한 액세스를 제공하고 CTL 또는 ITL 파일이 전화기에 설치되었는지 여부를 나타냅니다.

다음 표는 [보안 설정] 메뉴의 옵션에 대해 설명합니다.

표 3. 보안 설정 메뉴

옵션

설명

옵션을 변경하려면

보안 모드

전화기에 설정된 보안 모드가 표시됩니다.

Cisco Unified Communications Manager Administration에서 장치 > 전화기를 선택합니다. 설정은 [전화기 구성] 창의 프로토콜별 정보 부분에 나타납니다.

LSC

전화기에 보안 기능을 위해 사용되는 LSC(Locally Significant Certificate)가 설치되어 있는지(예) 또는 설치되어 있지 않은지(아니요)를 표시합니다.

전화기에 대한 LSC를 관리하는 작업에 관한 자세한 내용은 특정 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

신뢰 목록

신뢰 목록은 CTL, ITL 및 서명된 구성 파일에 대한 하위 메뉴를 제공합니다.

CTL 파일 하위 메뉴는 CTL 파일의 내용을 표시합니다. ITL 파일 하위 메뉴는 ITL 파일의 내용을 표시합니다.

또한 신뢰 목록 메뉴는 다음 정보를 표시합니다.

  • CTL 서명: CTL 파일의 SHA1 해시

  • 통합 CM/TFTP 서버: 전화기가 사용하는 Cisco Unified Communications Manager 및 TFTP 서버의 이름입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.

  • CAPF 서버: 전화기가 사용하는 CAPF 서버의 이름입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.

  • SRST 라우터: 전화기가 사용할 수 있는 신뢰된 SRST 라우터의 IP 주소입니다. 이 서버에 대한 인증서가 설치된 경우 인증서 아이콘을 표시합니다.

자세한 내용은 LSC(Locally Significant Certificate) 설정의 내용을 참조하십시오.

802.1X 인증

이 전화기에 802.1X 인증을 활성화할 수 있습니다.

802.1X 인증 참조

WPA와 이전 버전과의 호환성

전화기에서 가장 오래된 버전의 WPA(Wi-Fi 보호 액세스)가 무선 네트워크(SSID)에 연결하기 위해 호환되는지 여부를 결정합니다.

  • 켜짐으로 설정되어 있는 경우 전화기에서 모든 버전의 WPA(WPA, WPA2 및 WPA3)로 암호화된 무선 네트워크를 검색하고 연결할 수 있습니다. 특히 WPA의 가장 오래된 버전이 지원됩니다.

    참고

     

    WPA(가장 오래된 버전) 연결이 설정된 후 이 기능을 비활성화하면 전화기는 무선 네트워크에서 자동으로 연결이 끊어집니다.

  • 꺼짐으로 설정되어 있는 경우 전화기는 WPA2 및 WPA3의 최신 버전으로 암호화된 무선 네트워크만 검색하여 연결할 수 있습니다.

기본값: 끄기

응용 프로그램 > 관리 설정 > 보안 설정 >

LSC(Locally Significant Certificate) 설정

이 작업은 인증 문자열 방법으로 LSC를 설정하는 작업에 적용됩니다.

시작하기 전에

해당 Cisco Unified Communications Manager와 CAPF(Certificate Authority Proxy Function) 보안 구성이 완벽한지 확인합니다.

  • CTL이나 ITL 파일에는 CAPF 인증서가 있습니다.

  • Cisco Unified Communications 운영 체제 관리에서 CAPF 인증서 설치를 확인합니다.

  • CAPF가 실행 중이며 구성되어 있습니다.

이러한 설정에 관한 자세한 내용은 해당 Cisco Unified Communications Manager 릴리스용 문서를 참조하십시오.

프로시저

단계 1

CAPF가 구성될 때 설정된 CAPF 인증 코드를 확보합니다.

단계 2

전화기에서 애플리케이션 을 누릅니다.

단계 3

관리자 설정 > 보안 설정을 선택합니다.

참고

 

Cisco Unified Communications Manager Administration [전화기 구성] 창의 [설정 액세스] 필드를 통해 [설정] 메뉴에 대한 액세스를 제어할 수 있습니다.

단계 4

LSC를 선택하고 선택 또는 업데이트를 누릅니다.

전화기에 인증 문자열이 표시됩니다.

단계 5

인증 코드를 입력하고 제출을 누릅니다.

CAPF 구성에 따라 전화기가 LSC를 설치, 업데이트 또는 삭제하기 시작합니다. 과정을 수행하는 동안 [보안 구성] 메뉴의 [LSC 옵션] 필드에 일련의 메시지가 표시되는데, 이를 통해 진행 상황을 모니터링할 수 있습니다. 과정이 완료되면 전화기에 [설치됨] 또는 [설치되지 않음]이 표시됩니다.

LSC 설치, 업데이트 또는 삭제 프로세스는 시간이 많이 걸릴 수 있습니다.

전화기 설치 과정이 성공적으로 완료되면 설치됨 메시지가 표시됩니다. 전화기에 설치되지 않음이라고 표시되면, 인증 문자열이 잘못되었거나 전화기를 업그레이드할 수 없는 상황일 수 있습니다. CAPF가 작동해 LSC를 삭제하면 전화기에 설치되지 않음이라고 표시되어 작업이 완료되었음을 알려줍니다. CAPF 서버는 오류 메시지를 기록합니다. 로그를 검색하고 오류 메시지의 의미를 확인하려면 CAPF 서버 문서를 참조하십시오.

FIPS 모드 활성화

프로시저

단계 1

Cisco Unified Communications Manager Administration에서 장치 > 전화기를 선택하고 전화기를 찾습니다.

단계 2

[제품별 구성] 영역으로 이동합니다.

단계 3

FIPS 모드 필드를 [활성화]로 설정합니다.

단계 4

구성 적용을 선택합니다.

단계 5

저장을 선택합니다.

단계 6

전화기를 다시 시작합니다.

전화기 통화 보안

전화기에 보안이 실행되면, 전화기 화면의 아이콘을 통해 보안 전화를 식별할 수 있습니다. 통화를 시작할 때 보안 신호음이 재생되면 연결된 전화기가 안전하고 보호되고 있는지 여부를 판단할 수 있습니다.

보안 통화에서는 모든 통화 신호 처리와 미디어 스트림이 암호화됩니다. 보안 통화는 높은 수준의 보안을 제공하여, 통화에 무결성과 프라이버시를 제공합니다. 진행 중인 통화가 암호화되면, 전화기 화면의 통화 시간 타이머 오른쪽에 있는 통화 진행 아이콘이 으로 변경됩니다.


참고

통화가 비 IP 통화 레그(예: PSTN)를 통해 라우팅되면, IP 네트워크 내에서 암호화되고 이와 연결된 잠금 아이콘이 있더라도 통화의 보안이 이루어지지 않을 수 있습니다.

보안 통화에서는 연결된 다른 전화 역시 보안된 오디오를 송수신한다는 사실을 알리기 위해 통화를 시작할 때 보안 신호음이 재생됩니다. 보안이 이루어지지 않는 전화기에 통화가 연결되면 보안 신호음이 울리지 않습니다.


참고

보안 통화는 두 전화기 사이의 연결에만 지원됩니다. 보안 통화가 구성되면 전화회의 통화, 공유 회선 등의 일부 기능이 제공되지 않습니다.

Cisco Unified Communications Manager에서 전화기를 보안(암호화되고 신뢰됨)으로 구성하면, "보호됨" 상태를 지정할 수 있습니다. 그런 다음, 원하는 경우 통화 시작 시 표시음을 재생하도록 보호된 전화기를 구성할 수 있습니다.

  • 보호되는 장치: 보안 전화기의 상태를 보호됨으로 변경하려면, Cisco Unified Communications Manager Administration의 전화기 구성 창에서 보호되는 장치 확인란을 선택합니다(장치 > 전화기).

  • 보안 표시음 재생: 보호되는 전화에서 보안 또는 비보안 표시음을 재생하도록 하려면, [보안 표시음 재생] 설정을 [예]로 설정합니다. 기본적으로 [보안 표시음 재생]은 [아니요]로 설정됩니다. 이 옵션은 Cisco Unified Communications Manager Administration에서 설정합니다(시스템 > 서비스 매개변수). 서버를 선택하고, Unified Communications Manager 서비스를 선택합니다. [서비스 매개변수 구성] 창에서 [기능 - 보안 신호음] 영역을 선택합니다. 기본값은 [아니요]입니다.

보안 컨퍼런스 식별

보안 전화회의를 시작하여 참가자의 보안 수준을 모니터링할 수 있습니다. 보안 전화회의는 다음과 같은 프로세스를 사용해 이루어집니다.

  1. 사용자가 보안이 이루어진 전화기에서 전화회의를 시작합니다.

  2. Cisco Unified Communications Manager가 통화에 보안 컨퍼런스 브리지를 할당합니다.

  3. 참가자가 추가되면, Cisco Unified Communications Manager는 각 전화기의 보안 모드를 확인하고 전화회의를 위한 보안 수준을 유지합니다.

  4. 전화기에 전화회의의 보안 수준이 표시됩니다. 보안 전화회의는 전화기 화면의 전화회의 오른쪽에 보안 아이콘, 을 표시합니다.


참고

보안 통화는 두 전화기 사이에서 지원됩니다. 보호되는 전화기에서는 보안 통화가 구성될 경우 전화회의 통화, 공유 회선 및 내선 이동 같은 일부 기능을 사용할 수 없습니다.

다음 표에는 개시자 전화기 보안 수준, 참가자 보안 수준, 보안 컨퍼런스 브리지 사용 가능성에 따라 바뀌는 전화회의 보안 수준에 관한 정보가 나와 있습니다.

표 4. 전화회의를 통한 보안 제한

개시자 전화기 보안 수준

사용되는 기능

참가자 보안 수준

동작 결과

비보안

전화회의

보안

비보안 컨퍼런스 브리지

비보안 전화회의

보안

전화회의

최소 1명의 구성원이 비보안 상태입니다.

보안 컨퍼런스 브리지

비보안 전화회의

보안

전화회의

보안

보안 컨퍼런스 브리지

보안 암호화 수준 전화회의

비보안

회의개설

최소 보안 수준이 암호화되어 있습니다.

개시자는 보안 수준을 충족하지 않아 통화가 거부되었습니다라는 메시지를 받습니다.

보안

회의개설

최소 보안 수준이 비보안 상태입니다.

보안 컨퍼런스 브리지

전화회의에서 모든 통화를 수용합니다.

보안 전화기 통화 식별

전화기와 상대편 전화기가 보안 통화로 구성되어 있으면 보안 통화가 이루어집니다. 상대 전화기는 같은 Cisco IP 네트워크에 속해 있을 수도 있고, IP 네트워크 밖의 네트워크에 속해 있을 수도 있습니다. 보안 통화는 두 전화기 사이에서만 이루어집니다. 보안 컨퍼런스 브리지가 설정되면 전화회의 통화는 보안 통화를 지원해야 합니다.

보안 통화는 다음과 같은 프로세스를 사용해 이루어집니다.

  1. 사용자가 보안이 이루어진 전화기(보안 모드)에서 전화를 겁니다.

  2. 전화기가 전화기 화면에 보안 아이콘, 을 표시합니다. 이 아이콘은 전화기가 보안 통화로 구성되어 있음을 보여줍니다. 그러나 연결된 다른 전화기도 보안된다는 뜻은 아닙니다.

  3. 보안이 이루어진 다른 전화기에 통화가 연결되면 보안 신호음이 들립니다. 이는 대화의 양측이 모두 암호화되어 있고, 보안이 이루어진다는 뜻입니다. 보안이 이루어지지 않는 전화기에 통화가 연결되면, 보안 신호음이 울리지 않습니다.


참고

보안 통화는 두 전화기 사이에서 지원됩니다. 보호되는 전화기에서는 보안 통화가 구성될 경우 전화회의 통화, 공유 회선 및 내선 이동 같은 일부 기능을 사용할 수 없습니다.

오직 보호된 전화기에서만 보안 또는 비보안 표시음이 재생됩니다. 보호되지 않는 전화기에서는 신호음이 울리지 않습니다. 통화 중에 전체 통화 상태가 변경되면, 표시음이 변경되고 보호된 전화기에서 해당 표시음을 재생합니다.

보호된 전화기는 다음 상황에서 표시음을 재생하거나 재생하지 않습니다.

  • [보안 표시음 재생] 옵션이 활성화된 경우:

    • 엔드 투 엔드 보안 미디어가 설정되어 있고 통화 상태가 안전하면 전화기가 보안 신호음을 재생합니다(길게 경고음 3번, 중간에 일시 중지).

    • 엔드 투 엔드 비보안 미디어가 설정되고 통화 상태가 비보안일 때 전화기는 비보안 표시음을 재생합니다(짧게 경고음 여섯 번, 중간에 짧게 일시 중지).

[보안 표시음 재생] 옵션이 비활성화되면 표시음이 재생되지 않습니다.

참여를 위한 암호화 제공

Cisco Unified Communications Manager는 전화회의가 설정되면 전화기 보안 상태를 확인하고 전화회의에 대한 보안 표시를 변경하거나 통화 완료를 차단하여 시스템의 무결성 및 보안을 유지합니다.

참여에 사용되는 전화기가 암호화에 대해 구성되지 않은 경우, 사용자는 암호화된 통화에 참여할 수 없습니다. 이 경우 참여가 실패하면 사용자가 참여를 개시한 전화기에서 다시 걸기(빠른 통화 중) 신호음이 재생됩니다.

개시자 전화기가 암호화에 대해 구성된 경우, 참여 개시자는 암호화된 전화기에서 발신된 비보안 통화에 참여할 수 있습니다. 참여가 발생하면 Cisco Unified Communications Manager는 통화를 비보안으로 분류합니다.

개시자 전화기가 암호화에 대해 구성된 경우, 참여 개시자는 암호화된 통화에 참여할 수 있으며 전화기에 통화가 암호화되었음이 표시됩니다.

WLAN 보안

범위 내에 있는 모든 WLAN 장치는 기타 모든 WLAN 트래픽을 수신할 수 있으므로, 음성 통신 보안이 WLAN에서 중요합니다. 침입자가 음성 트래픽을 조작하거나 가로채지 않도록 하기 위해 Cisco SAFE 보안 아키텍처는 Cisco IP 전화기 및 Cisco Aironet AP를 지원합니다. 네트워크의 보안에 대한 자세한 내용은 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html을 참조하십시오.

Cisco Wireless IP 텔레포니 솔루션은 무선 Cisco IP 전화기가 지원하는 다음 인증 방법을 사용하여 인증되지 않은 로그인 및 통신 저하를 방지하는 무선 네트워크 보안을 제공합니다.

  • 개방형 인증: 무선 장치가 개방형 시스템에서 인증을 요청할 수 있습니다. 요청을 수신하는 AP는 요청자에게 또는 사용자 목록에 있는 요청자에게만 인증을 허가할 수 있습니다. 무선 장치와 AP 간 통신은 암호화되지 않을 수 있거나 장치가 WEP(Wired Equivalent Privacy) 키를 사용하여 보안을 제공할 수 있습니다. WEP를 사용하는 장치만 WEP를 사용 중인 AP로 인증을 시도합니다.

  • EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) 인증: 이 클라이언트 서버 보안 아키텍처는 AP와 Cisco ACS(Access Control Server)와 같은 RADIUS 서버 간 TLS(Transport Level Security) 터널 내에서 EAP 트랜잭션을 암호화합니다.

    TLS 터널은 클라이언트(전화기)와 RADIUS 서버 간 인증을 위해 PAC(Protected Access Credential)를 사용합니다. 서버가 AID(Authority ID)를 클라이언트(전화기)로 보내면, 거기서 해당 PAC를 선택합니다. 클라이언트(전화기)는 PAC-Opaque를 RADIUS 서버로 반환합니다. 서버는 기본 키로 PAC를 해독합니다. 이제 두 엔드포인트에는 PAC 키가 있고 TLS 터널이 생성됩니다. EAP-FAST는 자동 PAC 구축을 지원하지만, RADIUS 서버에서 이것을 활성화해야 합니다.


    참고

    Cisco ACS에서는 기본적으로 PAC가 1주일 후 만료됩니다. 전화기에 만료된 PAC가 있는 경우, 전화기가 새 PAC를 가져오는 동안 RADIUS 서버에서 인증 시간이 더 오래 걸립니다. PAC 구축 지연을 피하기 위해 PAC 만료 기간을 ACS 또는 RADIUS 서버에서 90일 이상으로 설정하십시오.

  • 확장 가능 인증 프로토콜 - 전송 계층 보안 EAP-TLS) 인증: EAP-TLS에는 인증 및 네트워크 액세스를 위한 클라이언트 인증서가 필요합니다. 유선 EAP-TLS의 경우, 클라이언트 인증서는 전화기의 MIC 또는 LSC 중 하나가 될 수 있습니다. LSC는 유선 EAP-TLS에 권장되는 클라이언트 인증 인증서입니다.

  • PEAP(Protected Extensible Authentication Protocol): 클라이언트(전화기)와 RADIUS 간 Cisco의 독점적 암호 기반 상호 인증 체계입니다. Cisco IP 전화기는 무선 네트워크에서 인증을 위해 PEAP를 사용할 수 있습니다. PEAP-MSCHAPV2 및 PEAP-GTC 인증 방법이 모두 지원됩니다.

다음 인증 체계는 RADIUS 서버를 사용하여 인증 키를 관리합니다.

  • WPA/WPA2: RADIUS 서버 정보를 사용하여 인증을 위한 고유 키를 생성합니다. 이러한 키는 중앙 집중식 RADIUS 서버에서 생성되므로, WPA/WPA2는 AP 및 전화기에 저장된 WAP 사전 공유 키보다 더 강화된 보안을 제공합니다.

  • 고속 보안 로밍: RADIUS 서버와 무선 도메인 서버(WDS) 정보를 사용하여 키를 관리하고 인증합니다. WDS는 빠르고 안전한 재인증을 위해 CCKM 사용 가능 클라이언트 장치에 대한 보안 자격 증명 캐시를 만듭니다. Cisco IP 전화기 8800 시리즈는 802.11r(FT)을 지원합니다. 11r(FT)와 CCKM 모두 고속 보안 로밍이 가능하도록 지원됩니다. 그러나 Cisco는 802.11r (FT) over air 방식을 활용할 것을 적극 권장합니다.

WPA/WPA2 및 CCKM을 사용할 때, 암호화 키는 전화기에 입력되지 않지만 AP와 전화기 간에 자동으로 파생됩니다. 그러나 인증을 위해 사용되는 EAP 사용자 이름과 암호는 각 전화기에 입력해야 합니다.

음성 트래픽이 보안되도록 하기 위해 Cisco IP 전화기는 암호화를 위해 WEP, TKIP 및 AES(Advanced Encryption Standards)를 지원합니다. 암호화를 위해 이러한 메커니즘이 사용될 때 시그널링 SIP 패킷과 음성 RTP(Real-Time Transport Protocol) 패킷은 모두 AP와 Cisco IP 전화기 사이에서 암호화됩니다.

WEP

WEP가 무선 네트워크에서 사용될 때, 인증은 개방형 또는 공유 키 인증을 사용하여 AP에서 수행됩니다. 전화기에 설정된 WEP 키는 성공적인 연결을 위해 AP에서 구성된 WEP 키와 일치해야 합니다. Cisco IP 전화기는 40비트 암호화 또는 128비트 암호화를 사용하고 전화기와 AP에서 정적 상태로 있는 WEP 키를 지원합니다.

EAP 및 CCKM 인증은 암호화를 위해 WEP 키를 사용할 수 있습니다. RADIUS 서버는 WEP 키를 관리하고 모든 음성 패킷을 암호화하기 위해 인증 후 AP로 고유 키를 전달합니다. 따라서 이러한 WEP 키는 각 인증과 함께 변경될 수 있습니다.

TKIP

WPA 및 CCKM은 WEP 상에서 여러 번 향상된 TKIP 암호화를 사용합니다. TKIP는 암호화를 강화하는 패킷당 키 암호화 또는 더 긴 초기화 벡터(IV)를 제공합니다. 뿐만 아니라, MIC(Message Integrity Check)가 암호화된 패킷을 변경하고 있지 않음을 확인합니다. TKIP는 침입자가 WEP 키를 해독하는 데 도움을 주는 WEP의 예측 가능성을 제거합니다.

AES

WPA2 인증을 위해 사용되는 암호화 방법입니다. 이 암호화 국가 표준은 암호화 및 암호 해독에 동일한 키를 가지는 대칭 알고리즘을 사용합니다. AES는 128비트 크기의 CBC(Cipher Blocking Chain) 암호화를 최소값으로 사용하는데, CBC 암호화는 128, 192 및 256비트의 키 크기를 지원합니다. Cisco IP 전화기는 256비트의 키 크기를 지원합니다.


참고

Cisco IP 전화기는 CMIC와 함께 CKIP(Cisco Key Integrity Protocol)를 지원하지 않습니다.

인증 및 암호화 체계는 무선 LAN 내에서 설정됩니다. VLAN은 네트워크 및 AP에서 구성되고 다른 인증과 암호화의 조합을 지정합니다. SSID는 VLAN과 특정 인증 및 암호화 체계와 연결됩니다. 무선 클라이언트 장치가 성공적으로 인증하기 위해서는 AP 및 Cisco IP 전화기에 해당 인증 및 암호화 체계를 포함하는 동일한 SSID를 구성해야 합니다.

일부 인증 체계에서는 특정 유형의 암호화가 필요합니다. 개방형 인증을 사용하면 보안 강화를 위해 암호화에 대해 정적 WEP를 사용할 수 있습니다. 그러나 공유 키 인증을 사용 중이면 암호화를 위해 정적 WEP를 설정하고, 전화기에 WEP 키를 구성해야 합니다.


참고
  • WPA 사전 공유 키 또는 WPA2 사전 공유 키를 사용할 때 사전 공유 키가 정적으로 전화기에 설정되어야 합니다. 이러한 키는 AP에 있는 키와 일치해야 합니다.

  • Cisco IP 전화기는 자동 EAP 협상을 지원하지 않습니다. EAP-FAST 모드를 사용하려면 이 기능을 지정해야 합니다.

다음 표에서는 Cisco IP 전화기가 지원하는 Cisco Aironet AP에 구성되는 인증 및 암호화 체계의 목록을 제공합니다. 표는 AP 구성에 상응하는 전화기의 네트워크 구성 옵션을 나타냅니다.

표 5. 인증 및 암호화 체계

Cisco IP 전화기 구성

AP 구성

보안 모드

보안

키 관리

암호화

고속 로밍

없음

없음

없음

없음

해당 없음

WEP

정적 WEP

정적

WEP

해당 없음

PSK

PSK

WPA

TKIP

없음

WPA2

AES

FT

EAP-FAST

EAP-FAST

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

EAP-TLS

EAP-TLS

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-MSCHAPV2

PEAP-MSCHAPV2

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-GTC

PEAP-GTC

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

AP에서 인증 및 암호화 체계 구성에 대한 자세한 내용은 다음 URL 아래에서 해당 모델 및 릴리스에 대한 Cisco Aironet 구성 설명서를 참조하십시오.

http://www.cisco.com/cisco/web/psa/configure.html?mode=prod&level0=278875243

인증 모드 설정

이 프로파일에 대한 인증 모드를 선택하려면 다음 단계를 수행합니다.

프로시저

단계 1

구성할 네트워크 프로파일을 선택합니다.

단계 2

인증 모드를 선택합니다.

참고

 

선택한 항목에 따라, 무선 보안 또는 무선 암호화에 추가 옵션을 구성해야 합니다. 자세한 내용은 WLAN 보안를 참조하십시오.

단계 3

저장을 클릭하여 변경 사항을 작성합니다.

무선 보안 인증서

네트워크가 사용자 인증을 위해 EAP-FAST 및 PEAP를 사용할 때 원격 인증 전화 접속 사용자 서비스(RADIUS)와 전화기에 필요한 경우 사용자 이름과 암호를 모두 구성해야 합니다.


참고

네트워크 내에서 도메인을 사용하는 경우 도메인 이름\사용자 이름 형식으로 도메인 이름과 함께 사용자 이름을 입력해야 합니다.

다음 작업을 수행하면 기존 Wi-Fi 암호가 지워질 수 있습니다.

  • 잘못된 사용자 ID 또는 암호 입력

  • EAP 유형이 PEAP-MSCHAPV2 또는 PEAP-GTC로 설정되었을 때 잘못되었거나 만료된 루트 CA 설치

  • 전화기를 새 EAP 유형으로 변경하기 전에 전화기에서 사용되는 RADIUS 서버에서 EAP 유형을 비활성화

EAP 유형을 변경하려면 명시된 순서대로 다음을 수행합니다.

  • RADIUS에서 새 EAP 유형을 활성화합니다.

  • 전화기의 EAP 유형을 새 EAP 유형으로 변경합니다.

새 EAP 유형이 RADIUS 서버에서 활성화될 때까지 전화기에 구성된 현재 EAP 유형을 유지합니다. 새 EP 유형이 RADIUS 서버에서 활성화되면 전화기의 EAP 유형을 변경할 수 있습니다. 모든 전화기에서 새로운 EAP 유형으로 변경된 후 원할 경우 이전 EAP 유형을 비활성화할 수 있습니다.

사용자 이름 및 암호 설정

네트워크 프로파일에 대한 사용자 이름 또는 암호를 입력하거나 변경하려면 RADIUS 서버에 구성된 것과 동일한 사용자 이름 및 암호 문자열을 사용해야 합니다. 사용자 이름 또는 암호의 최대 길이는 64자입니다.

무선 보안 인증서에 사용자 이름 및 암호를 설정하려면 다음 단계를 수행합니다.

프로시저

단계 1

네트워크 프로파일을 선택합니다.

단계 2

[사용자 이름] 필드에 이 프로파일에 대한 네트워크 사용자 이름을 입력합니다.

단계 3

[암호] 필드에 이 프로파일에 대한 네트워크 암호 문자열을 입력합니다.

단계 4

저장을 클릭하여 변경 사항을 작성합니다.

사전 공유 키 설정

사전 공유 키를 설정할 때 다음 섹션을 참조하십시오.

사전 공유 키 형식

Cisco IP 전화기는 ASCII 및 16진수 형식을 지원합니다. WEP 사전 공유 키를 설정할 때 다음 형식 중 하나를 사용해야 합니다.

16진수

16진수 키의 경우 64개의 16진수(0-9 및 A-F)를 입력합니다(예: AB123456789CD01234567890EFAB123456789CD01234567890EF3456789C).

ASCII

ASCII 키의 경우 기호를 포함하여 0-9, A-Z(대문자 및 소문자)를 사용하고 8~63자 길이인 문자를 입력합니다(예: GREG12356789ZXYW).

PSK 설정

무선 인증서 영역에서 PSK를 설정하려면 다음 단계를 수행하십시오.

프로시저

단계 1

WPA 사전 공유 키 또는 WPA2 사전 공유 키를 활성화하는 네트워크 프로파일을 선택합니다.

단계 2

키 유형 영역에서 해당 키를 입력합니다.

단계 3

암호/사전 공유 키 필드에 ASCII 문자열 또는 16진수를 입력합니다.

단계 4

저장을 클릭하여 변경 사항을 작성합니다.

무선 암호화

무선 네트워크가 WEP 암호화를 사용하고 인증 모드를 개방형 + WEP로 설정하면 ASCII 또는 16진수 WEP 키를 입력해야 합니다.

전화기용 WEP 키가 액세스 지점에 할당된 WEP 키와 일치해야 합니다. Cisco IP 전화기 및 Cisco Aironet 액세스 지점은 40비트 및 128비트 암호화 키를 모두 지원합니다.

WEP 키 형식

WEP 키를 설정할 때 다음 형식 중 하나를 사용해야 합니다.

16진수

16진수 키의 경우 다음 키 크기 중 하나를 사용합니다.

40비트

16진수 숫자(0-9 및 A-F)를 사용하는 10자릿수 암호화 키 문자열을 입력합니다(예: ABCD123456).

128비트

16진수 숫자(0-9 및 A-F)를 사용하는 26자릿수 암호화 키 문자열을 입력합니다(예: AB123456789CD01234567890EF).

ASCII

ASCII 키의 경우 0-9, A-Z(대문자 및 소문자) 및 모든 기호를 사용하는 문자열을 다음 키 크기 중 하나로 입력합니다.

40비트

5자 문자열을 입력합니다(예: GREG5).

128비트

13자 문자열을 입력합니다(예: GREGSSECRET13).

WEP 키 설정

WEP 키를 설정하려면 다음 단계를 따르십시오.

프로시저

단계 1

개방형+WEP 또는 공유+WEP를 사용하는 네트워크 프로파일을 선택합니다.

단계 2

키 유형 영역에서 해당 키를 입력합니다.

단계 3

키 크기 영역에서 다음 문자열 길이 중 하나를 선택합니다.

  • 40

  • 128

단계 4

[암호화 키] 필드에서 선택한 키 유형과 키 크기에 기반한 적절한 키 문자열을 입력합니다. WEP 키 형식 참조

단계 5

저장을 클릭하여 변경 사항을 작성합니다.

Microsoft Certificate Services를 사용하여 ACS에서 CA 인증서 가져오기

ACS에서 루트 CA 인증서를 내보냅니다. 자세한 내용은 다음의 CA 또는 RADIUS 문서를 참조하십시오.

MIC(Manufacturing Installed Certificate)

Cisco는 출하 시 전화기에 MIC(Manufacturing Installed Certificate)를 포함시켰습니다.

EAP-TLS 인증 도중 ACS 서버는 전화기의 신뢰를 확인해야 하고 전화기는 ACS 서버의 신뢰를 확인해야 합니다.

MIC를 확인하려면 제조 루트 인증서 및 제조 인증 기관(CA) 인증서를 Cisco IP 전화기에서 내보내고 Cisco ACS 서버에 설치해야 합니다. 이러한 두 가지 인증서는 Cisco ACS 서버가 MIC를 확인하는 데 사용되는 신뢰된 인증서 고리의 부분입니다.

Cisco ACS 인증서를 확인하려면 신뢰된 하위 인증서(있는 경우)와 Cisco ACS 서버의 (CA에서 작성된) 루트 인증서를 내보내고 전화기에 설치해야 합니다. 이러한 인증서는 ACS 서버에서 인증서 신뢰를 확인하는 데 사용되는 신뢰된 인증서 고리의 부분입니다.

사용자 설치 인증서

사용자 설치 인증서를 사용하려면 CSR(Certificate Signing Request)이 생성되고 CA로 승인을 위해 전송됩니다. CSR 없이 CA에서 사용자 인증서를 생성할 수도 있습니다.

EAP-TLS 인증 도중 ACS 서버는 전화기의 신뢰를 확인하고 전화기는 ACS 서버의 신뢰를 확인합니다.

사용자 설치 인증서의 인증을 확인하려면 Cisco ACS 서버에서 사용자 인증서를 승인한 CA에서 신뢰된 하위 인증서(있는 경우) 및 루트 인증서를 설치해야 합니다. 이러한 인증서는 사용자 설치 인증서의 신뢰를 확인하는 데 사용되는 신뢰된 인증서 고리의 부분입니다.

Cisco ACS 인증서를 확인하려면 신뢰된 하위 인증서(있는 경우)와 Cisco ACS 서버의 (CA에서 작성된) 루트 인증서를 내보내고 내보낸 인증서는 전화기에 설치됩니다. 이러한 인증서는 ACS 서버에서 인증서 신뢰를 확인하는 데 사용되는 신뢰된 인증서 고리의 부분입니다.

EAP-TLS 인증서 설치

EAP-TLS에 대한 인증서를 설치하려면 다음 단계를 수행합니다.

프로시저

단계 1

전화기 웹 페이지에서 전화기에 Cisco Unified Communications Manager 날짜와 시간을 설정합니다.

단계 2

제조 설치 인증서(MIC)를 사용하는 경우:

  1. 전화기 웹 페이지에서 CA 루트 인증서 및 제조 CA 인증서를 내보냅니다.

  2. Internet Explorer에서 Cisco ACS 서버에 인증서를 설치하고 신뢰 목록을 편집합니다.

  3. 루트 CA를 전화기로 가져옵니다.

    자세한 내용은 다음 링크를 참조하십시오.

단계 3

ACS 구성 도구를 사용하여 사용자 계정을 설정합니다.

자세한 내용은 다음 링크를 참조하십시오.

날짜 및 시간 설정

EAP-TLS는 Cisco IP 전화기의 내부 시계가 올바르게 설정되어야 하는 인증서 기반 인증을 사용합니다. 전화기가 Cisco Unified Communications Manager에 등록될 때 전화기의 날짜와 시간을 변경할 수 있습니다.


참고

새 서버 인증서가 요청되고 있고 로컬 시간이 GMT(Greenwich Mean Time)보다 늦으면 인증서 검증이 실패할 수 있습니다. GMT보다 빠른 로컬 날짜 및 시간을 설정하는 것이 좋습니다.

전화기를 올바른 로컬 날짜 및 시간으로 설정하려면 다음 단계를 수행합니다.

프로시저

단계 1

왼쪽 탐색 창에서 날짜 및 시간을 선택합니다.

단계 2

[현재 전화기 날짜 및 시간] 필드의 설정이 [로컬 날짜 및 시간] 필드와 다른 경우 전화기를 로컬 날짜 및 시간으로 설정을 클릭합니다.

단계 3

전화기 재시작을 클릭한 다음 확인을 클릭합니다.

ACS에서 인증서 내보내기 및 설치

MIC를 사용하려면 제조 루트 인증서 및 제조 CA 인증서를 내보내고 Cisco ACS 서버에서 인증서를 설치하십시오.

제조 루트 인증서 및 제조 CA 인증서를 ACS 서버로 내보내려면 다음 단계를 따르십시오.

프로시저

단계 1

전화기 웹 페이지에서 인증서를 선택합니다.

단계 2

제조 루트 인증서 옆에 있는 내보내기를 클릭합니다.

단계 3

인증서를 저장하고 ACS 서버에 복사합니다.

단계 4

제조 CA 인증서에 대해 1-2단계를 반복합니다.

단계 5

ACS 서버 시스템 구성 페이지에서 각 인증서에 대한 파일 경로를 입력하고 인증서를 설치합니다.

참고

 

ACS 구성 도구 사용에 대한 자세한 내용은 ACS 온라인 도움말 또는 Windows용 Cisco Secure ACS 사용 설명서(http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-user-guide-list.html)를 참조하십시오.

단계 6

인증서 신뢰 목록(CTL) 페이지를 사용하여 ACS에서 신뢰하는 인증서를 추가합니다.

ACS 인증서 내보내기 방법

ACS에서 내보내는 인증서 유형에 따라 다음 방법 중 하나를 사용합니다.

Microsoft Certificate Services를 사용하여 ISE에서 CA 인증서 가져오기

이 방법을 사용하여 사용자가 설치한 인증서 또는 ISE 인증서에 서명한 ISE 서버에서 CA 인증서를 내보낼 수 있습니다.

Microsoft Certificate Services 웹 페이지를 사용하여 CA 인증서를 내보내려면 다음 단계를 따르십시오.

프로시저

단계 1

Microsoft Certificate Services 웹 페이지에서 CA 인증서, 인증서 고리 또는 CRL 다운로드를 선택합니다.

단계 2

다음 페이지의 텍스트 상자에서 현재 CA 인증서를 강조 표시하고 인코딩 방법 아래에서 DER을 선택하고 CA 인증서 다운로드를 클릭합니다.

단계 3

CA 인증서를 저장합니다.

Internet Explorer를 사용하여 ACS에서 CA 인증서 내보내기

이 방법을 사용하여 자체 서명 인증서를 사용하는 ACS 서버에서 CA 인증서를 내보낼 수 있습니다.

Internet Explorer를 사용하여 ACS 서버에서 인증서를 내보내려면 다음 단계를 따르십시오.

프로시저

단계 1

Internet Explorer에서 도구 > 인터넷 옵션을 선택한 다음 [내용] 탭을 클릭합니다.

단계 2

[인증서] 아래에서 인증서를 클릭한 다음 [신뢰할 수 있는 루트 인증 기관] 탭을 클릭합니다.

단계 3

루트 인증서를 강조 표시하고 내보내기를 클릭합니다. 인증서 내보내기 마법사가 표시됩니다.

단계 4

다음을 클릭합니다.

단계 5

다음 창에서 DER 인코딩된 바이너리 X.509(.CER)을 선택하고 다음을 클릭합니다.

단계 6

인증서의 이름을 지정하고 다음을 클릭합니다.

단계 7

전화기에 설치할 CA 인증서를 저장합니다.

사용자가 설치한 인증서 요청 및 가져오기

전화기에서 인증서를 요청하고 설치하려면 다음 단계를 수행합니다.

프로시저

단계 1

전화기 웹 페이지에서 EAP-TLS를 사용하는 네트워크 프로파일을 선택하고 EAP-TLS 인증서 필드에서 사용자 설치됨을 선택합니다.

단계 2

인증서를 클릭합니다.

사용자 인증서 설치 페이지지에서 일반 이름 필드가 ACS 서버의 사용자 이름과 일치해야 합니다.

참고

 

원하는 경우 일반 이름 필드를 편집할 수 있습니다. 이 이름이 ACS 서버에서의 사용자 이름과 일치하는지 확인하십시오. ACS 사용자 계정 설정 및 인증서 설치 참조

단계 3

인증서에 표시될 정보를 입력하고 제출을 클릭하여 CSR(Certificate Signing Request)을 생성합니다.

인증 서버 루트 인증서 설치

전화기에 인증 서버 루트 인증서를 설치하려면 다음 단계를 수행합니다.

프로시저

단계 1

ACS에서 인증 서버 루트 인증서를 내보냅니다. ACS 인증서 내보내기 방법 참조

단계 2

전화기 웹 페이지로 이동하고 인증서를 선택합니다.

단계 3

인증 서버 루트 인증서 옆에 있는 가져오기를 클릭합니다.

단계 4

전화기를 다시 시작합니다.

ACS 사용자 계정 설정 및 인증서 설치

사용자 계정 이름을 설정하고 ACS에 전화기에 대한 MIC 루트 인증서를 설치하려면 다음 단계를 수행합니다.


참고

ACS 구성 도구 사용에 대한 자세한 내용은 ACS 온라인 도움말 또는 Windows용 Cisco Secure ACS 사용 설명서를 참조하십시오.

프로시저

단계 1

ACS 구성 도구 사용자 설정 페이지에서 전화기 사용자 계정 이름이 아직 설정되어 있지 않으면 새로 만듭니다.

일반적으로 사용자 이름은 끝에 전화기 MAC 주소를 포함합니다. EAP-TLS에 필요한 암호가 없습니다.

참고

 

사용자 이름이 사용자 인증서 설치 페이지의 일반 이름 필드와 일치하는지 확인하십시오. 사용자가 설치한 인증서 요청 및 가져오기 참조

단계 2

시스템 구성 페이지의 EAP-TLS 섹션에서 다음 필드를 활성화합니다.

  • EAP-TLS 허용

  • CN 비교 인증서

단계 3

ACS 인증서 설정 페이지에서 제조 루트 인증서 및 제조 CA 인증서를 ACS 서버에 추가합니다.

단계 4

ACS 인증서 신뢰 목록에서 제조 루트 인증서와 제조 CA 인증서를 모두 활성화합니다.

PEAP 설정

PEAP(Protected Extensible Authentication Protocol)는 서버측 공개 키 인증서를 사용하여 클라이언트와 인증 서버 간에 암호화된 SSL/TLS 터널을 만들어 클라이언트를 인증합니다.

Cisco IP 전화기 8865는 SCEP 또는 수동 설치 방법 중 하나만 설치할 수 있고 두 가지 방법 모두를 사용하여 설치할 수 없는 하나의 서버 인증서만을 지원합니다. 전화기가 인증서 설치의 TFTP 방법을 지원하지 않습니다.


참고

인증 서버 검증은 인증 서버 인증서를 가져와서 활성화할 수 있습니다.
시작하기 전에

전화기에 대한 PEAP 인증을 구성하려면 다음 Cisco Secure ACS 요구 사항을 충족하는지 확인하십시오.

  • ACS 루트 인증서를 설치해야 합니다.

  • PEAP에 대한 서버 검증을 활성화하기 위해 인증서를 설치할 수도 있습니다. 하지만 서버 인증서가 설치된 경우 서버 검증이 활성화됩니다.

  • [EAP-MSCHAPv2 허용] 설정이 활성화되어 있어야 합니다.

  • 사용자 계정 및 암호를 구성해야 합니다.

  • 암호 인증을 위해 로컬 ACS 데이터베이스 또는 외부 데이터베이스(예: Windows 또는 LDAP)를 사용할 수 있습니다.

PEAP 인증 활성화
프로시저

단계 1

전화기 구성 웹 페이지에서 PEAP를 인증 모드로 선택합니다.

단계 2

사용자 이름과 암호를 입력합니다.

무선 LAN 보안

Wi-Fi를 지원하는 Cisco 전화기에는 보안 요구 사항이 많으며 추가 구성이 필요합니다. 이러한 추가 단계는 전화기 및 Cisco Unified Communications Manager에서 인증서 설치 및 보안 설정을 포함합니다.

자세한 내용은 Cisco Unified Communications Manager 보안 설명서를 참조하십시오.

Cisco IP 전화기 관리 페이지

Wi-Fi를 지원하는 Cisco 전화기에는 다른 전화기의 페이지와 다른 특수 웹 페이지가 있습니다. SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없으면 전화기 보안 구성을 위해 이러한 특수 웹 페이지를 사용합니다. 이러한 페이지를 사용하여 수동으로 전화기에 보안 인증서를 설치하거나, 보안 인증서를 다운로드하거나, 전화기 날짜 및 시간을 수동으로 구성합니다.

또한 이러한 웹 페이지는 장치 정보, 네트워크 설정, 로그 및 통계 정보를 포함하여, 다른 전화기 웹 페이지에서 보는 정보와 동일한 정보도 나타냅니다.

관리 페이지에서 전화기 구성

관리 웹 페이지는 전화기가 공장에서 배송되었고 암호가 Cisco로 설정된 경우 활성화됩니다. 그러나 전화기가 Cisco Unified Communications Manager로 등록된 경우 관리 웹 페이지를 활성화하고 새 암호를 구성해야 합니다.

이 웹 페이지를 활성화하고 로그인 자격 증명을 설정한 후에 처음으로 웹 페이지를 사용하려면 전화기를 등록해야 합니다.

활성화되면 관리 웹 페이지는 HTTPS 포트 8443(https://x.x.x.x:8443, 여기서 x.x.x.x는 전화기 IP 주소)에서 액세스할 수 있습니다.

시작하기 전에

관리 웹 페이지를 활성화하기 전에 암호를 결정합니다. 암호는 문자 또는 숫자의 조합을 사용할 수 있지만 길이는 8 ~ 127자 사이여야 합니다.

사용자 이름은 영구적으로 admin으로 설정됩니다.

프로시저

단계 1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택합니다.

단계 2

전화기를 찾습니다.

단계 3

제품별 구성 레이아웃 섹션에서 웹 관리활성화됨으로 설정합니다.

단계 4

관리자 암호 필드에 암호를 입력합니다.

단계 5

저장을 선택하고 확인을 클릭합니다.

단계 6

구성 적용을 선택하고 확인을 클릭합니다.

단계 7

전화기를 다시 시작합니다.
전화기 관리 웹 페이지 액세스

관리 웹 페이지에 액세스하려는 경우 관리 포트를 지정해야 합니다.

프로시저

단계 1

전화기의 IP 주소를 확보합니다.

  • Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택하고 전화기를 찾습니다. Cisco Unified Communications Manager에 등록한 전화기는 전화기 찾기 및 나열 창과 전화기 구성 창 상단에 IP 주소를 표시합니다.
  • 전화기에서 애플리케이션 을 누르고 전화기 정보를 선택하고 IPv4 주소 필드로 스크롤합니다.

단계 2

웹 브라우저를 열고, 다음 URL을 입력합니다. 여기서 IP_address는 Cisco IP 전화기의 IP 주소입니다.

https://<IP_address>:8443

단계 3

암호 필드에 암호를 입력합니다.

단계 4

제출을 클릭합니다.

전화기 관리 웹 페이지에서 사용자 인증서 설치

SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없는 경우 전화기에 수동으로 사용자 인증서를 설치할 수 있습니다.

미리 설치된 MIC(Manufacturing Installed Certificate)를 EAP-TLS에 대한 사용자 인증서로 사용할 수 있습니다.

사용자 인증서 설치 후 RADIUS 서버 신뢰 목록에 추가해야 합니다.

시작하기 전에
전화기에 대한 사용자 인증서를 설치하기 전에 다음을 확인해야 합니다.

  • PC에 사용자가 인증서를 저장되어 있습니다. 인증서는 PKCS #12 형식이어야 합니다.

  • 인증서의 추출 암호입니다.

프로시저

단계 1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

단계 2

사용자 설치 필드를 찾아 설치를 클릭합니다.

단계 3

PC에서 인증서를 찾습니다.

단계 4

추출 암호 필드에 인증서 추출 암호를 입력합니다.

단계 5

업로드를 클릭합니다.

단계 6

업로드가 완료된 후 전화기를 다시 시작합니다.
전화기 관리 웹 페이지에서 인증 서버 인증서를 설치

SCEP(Simple Certificate Enrollment Protocol)를 사용할 수 없는 경우 전화기에 수동으로 인증 서버 인증서를 설치할 수 있습니다.

EAP-TLS를 위해 RADIUS 서버 인증서를 발급한 루트 CA 인증서를 설치해야 합니다.

시작하기 전에

전화기에 인증서를 설치하기 전에 PC에 인증 서버 인증서를 저장해야 합니다. 인증서는 PEM (Base-64) 또는 DER로 인코딩해야 합니다.

프로시저

단계 1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

단계 2

인증 서버 CA(관리 웹 페이지) 필드를 찾아 설치를 클릭합니다.

단계 3

PC에서 인증서를 찾습니다.

단계 4

업로드를 클릭합니다.

단계 5

업로드가 완료된 후 전화기를 다시 시작합니다.

하나 이상의 인증서를 설치하는 경우 전화기를 다시 시작하기 전에 모든 인증서를 설치합니다.
전화기 관리 웹에서 보안 인증서를 수동으로 제거

Enrollment Protocol SCEP(Simple Certificate)를 사용할 수 없는 경우 전화기에서 보안 인증서를 수동으로 제거할 수 있습니다.

프로시저

단계 1

전화기 관리 웹 페이지에서 인증서를 선택합니다.

단계 2

인증서 페이지에서 인증서를 찾습니다.

단계 3

삭제를 클릭합니다.

단계 4

삭제 프로세스를 완료한 후 전화기를 다시 시작합니다.
전화기 날짜 및 시간 직접 설정

인증서 기반 인증을 사용하면 전화기에 정확한 날짜와 시간이 표시되어야 합니다. 인증 서버는 인증서 만료 날짜에 대해 전화기 날짜와 시간을 확인합니다. 전화기와 서버 날짜 및 시간이 일치하지 않는 경우 전화기는 작동하지 않습니다.

전화기가 네트워크로부터 올바른 정보를 수신하지 못하는 경우 이 절차를 사용하여 날짜 및 시간을 직접 설정할 수 있습니다.

프로시저

단계 1

전화기 관리 웹 페이지에서 날짜 및 시간으로 스크롤합니다.

단계 2

다음 옵션 중 하나를 수행합니다.

  • 전화기를 로컬 날짜 및 시간으로 설정을 클릭하여 전화기를 로컬 서버에 동기화합니다.
  • 날짜 및 시간 지정 필드에서 메뉴를 사용하여 월, 일, 년, 시간, 분 및 초를 선택하고 전화기를 특정 날짜 및 시간으로 설정을 클릭합니다.

SCEP 설정

SCEP(Simple Certificate Enrollment Protocol)는 자동으로 인증서를 제공하고 갱신하기 위한 표준입니다. 이것은 전화기에 인증서를 수동으로 설치하지 못하게 합니다.

SCEP 제품 특정 구성 매개변수 구성

전화기 웹 페이지에서 다음과 같은 SCEP 매개변수를 구성해야 합니다.

  • RA IP 주소

  • SCEP 서버에 대한 루트 CA 인증서의 SHA-1 또는 SHA-256 지문

Cisco IOS 등록 기관(RA)은 SCEP 서버의 프록시로 사용됩니다. 전화기의 SCEP 클라이언트는 Cisco Unified Communications Manager에서 다운로드되는 매개변수를 사용합니다. 매개변수를 구성한 후 전화기는 SCEP getcs 요청을 RA에 요청을 전송하고 루트 CA 인증서는 정의된 지문을 사용하여 검증됩니다.

프로시저

단계 1

Cisco 통합 커뮤니케이션 매니저 관리에서 장치 > 전화기를 선택합니다.

단계 2

전화기를 찾습니다.

단계 3

제품별 구성 레이아웃 영역으로 스크롤합니다.

단계 4

WLAN SCEP 서버 확인란을 선택하여 SCEP 매개변수를 활성화합니다.

단계 5

WLAN Root CA Fingerprint (SHA256 or SHA1) 확인란을 선택하여 SCEP QED 매개변수를 활성화합니다.

Simple Certificate Enrollment Protocol 서버 지원

SCEP(Simple Certificate Enrollment Protocol)를 사용하는 경우 서버는 사용자와 서버 인증서를 자동으로 유지할 수 있습니다. SCEP 서버에서 SCEP 등록 에이전트(RA)를 다음과 같이 구성합니다.

  • PKI 신뢰 포인트로 사용

  • PKI RA로 사용

  • RADIUS 서버를 사용하여 장치 인증 수행

자세한 내용을 보려면 SCEP 서버 문서를 참조하십시오.

802.1X 인증

Cisco IP 전화기는 802.1X 인증을 지원합니다.

Cisco IP 전화기와 Cisco Catalyst 스위치는 일반적으로 CDP(Cisco Discovery Protocol)를 사용해 서로를 식별하고 VLAN 할당 및 인라인 전력 요구 사항 같은 매개변수를 결정합니다. CDP는 로컬로 연결된 워크스테이션은 식별하지 않습니다. Cisco IP 전화기는 EAPOL 패스스루 메커니즘을 제공합니다. 이 메커니즘을 통해 Cisco IP 전화기에 연결된 워크스테이션은 LAN 스위치의 802.1X 인증자에게 EAPOL 메시지를 전달합니다. 패스스루 메커니즘은 네트워크에 접속하기 전 데이터 엔드포인트를 인증하기 위해 IP 전화기가 LAN 스위치로 작동하지 않도록 합니다.

Cisco IP 전화기는 프록시 EAPOL 로그오프 메커니즘도 제공합니다. 로컬로 연결된 PC에서 IP 전화기와의 연결을 끊어도, LAN 스위치와 IP 전화기 사이의 링크는 유지되기 때문에 LAN 스위치는 물리적인 링크 문제를 발견하지 못합니다. 네트워크 무결성이 손상되지 않도록 IP 전화기는 다운스트림 PC를 대신해 스위치에 EAPOL 로그오프 메시지를 전송합니다. 그러면 LAN 스위치에서 다운스트림 PC에 대한 인증 항목을 지웁니다.

802.1X 인증을 지원하려면 다음과 같은 몇 가지 구성 요소가 필요합니다.

  • Cisco IP 전화기: 전화기에서 네트워크 액세스 요청을 시작합니다. Cisco IP 전화기에는 802.1X 인증 요청자가 있습니다. 이 인증 요청자를 통해 네트워크 관리자는 IP 전화기의 LAN 스위치 포트 연결을 제어합니다. 현재 전화기 802.1X 인증 요청자 릴리스는 네트워크 인증에 EAP-FAST 및 EAP-TLS 옵션을 사용합니다.

  • Cisco Secure Access Control Server(ACS)(또는 기타 타사 인증 서버): 인증 서버와 전화기가 모두 전화기를 인증하는 공유 비밀로 구성되어야 합니다.

  • Cisco Catalyst 스위치(또는 기타 타사 스위치): 스위치는 반드시 802.1X를 지원해야 합니다. 그래야 인증 요청자로 작동하여 전화기와 인증 서버 사이에 메시지를 전달할 수 있습니다. 교환이 끝나면 스위치는 네트워크에 대한 전화기 액세스를 허용 또는 거부합니다.

802.1X를 구성하려면 다음과 같은 작업을 수행해야 합니다.

  • 전화기에서 802.1X 인증을 활성화하기 전에, 먼저 다른 구성 요소를 구성합니다.

  • PC 포트 구성: 802.1X 표준은 VLAN을 고려하지 않기 때문에 특정 스위치 포트에서 단일 장치만 인증하도록 권장합니다. 그러나 일부 스위치(Cisco Catalyst 스위치 포함)는 멀티도메인 인증을 지원합니다. PC를 전화기의 PC 포트에 연결할 수 있는지 여부는 스위치 구성에서 결정합니다.

    • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, PC 포트를 활성화하고 여기에 PC를 연결할 수 있습니다. 이 경우 Cisco IP 전화기는 스위치와 연결된 PC 간의 인증 교환을 모니터링하기 위해 프록시 EAPOL 로그오프를 지원합니다. Cisco Catalyst 스위치의 IEEE 802.1X 지원에 관한 자세한 내용은 Cisco Catalyst 스위치 구성 설명서를 참조하십시오.

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 비활성화됨: 스위치가 같은 포트에서 여러 개의 802.1X 준수 장치를 지원하지 않는다면, 802.1X 인증이 활성화될 때 PC 포트를 비활성화해야 합니다. 이 포트를 비활성화지 않은 상태에서 나중에 PC와 연결하려고 하면, 스위치에서 전화기와 PC 모두에 대한 네트워크 액세스를 거부합니다.

  • 음성 VLAN 구성: 802.1X 표준으로 VLAN이 설명되지 않으므로 스위치 지원을 기준으로 이 설정을 구성해야 합니다.
    • 활성화됨: 멀티도메인 인증을 지원하는 스위치를 사용 중이면, 계속 음성 VLAN을 사용할 수 있습니다.
    • 비활성화됨: 스위치에서 멀티도메인 인증을 지원하지 않으면, 음성 VLAN을 비활성화하고 기본 VLAN에 대한 포트 할당을 고려하십시오.

802.1X 인증 액세스

다음 단계를 수행하여 802.1X 인증 설정에 액세스할 수 있습니다.

프로시저

단계 1

애플리케이션을 누릅니다.

단계 2

관리 설정 > 보안 설정 > 802.1X 인증을 선택합니다.

단계 3

802.1X 인증 옵션에 설명된 것처럼 옵션을 구성합니다.

단계 4

이 메뉴를 종료하려면 종료를 누릅니다.

802.1X 인증 옵션

다음 표에서는 802.1X 인증 옵션에 대해 설명합니다.

표 6. 802.1X 인증 설정

옵션

설명

변경

장치 인증

802.1X 인증의 활성화 여부를 판별합니다.

  • 활성화: 전화기는 802.1X 인증을 사용하여 네트워크 액세스를 요청합니다.
  • 비활성화: 기본 설정입니다. 전화기는 CDP를 사용하여 VLAN 및 네트워크 액세스를 획득합니다.

장치 인증 필드 설정 참조

트랜잭션 상태

상태: 802.1x 인증의 상태를 표시합니다.

  • 연결 끊김: 802.1x 인증이 전화기에 구성되지 않았음을 나타냅니다.

  • 인증됨: 전화기가 인증되었음을 나타냅니다.

  • 보류됨: 인증 프로세스가 진행 중임을 나타냅니다.

프로토콜: 802.1x 인증에 사용되는 EAP 메서드를 표시합니다(EAP-FAST 또는 EAP-TLS일 수 있음).

표시 전용입니다. 구성할 수 없습니다.

장치 인증 필드 설정

프로시저

단계 1

애플리케이션을 누릅니다.

단계 2

관리 설정 > 보안 설정 > 802.1X 인증을 선택합니다.

단계 3

장치 인증 옵션을 설정합니다.

  • 아니요

단계 4

적용을 누릅니다.