Segurança do Cisco IP Phone

Aprimoramentos de segurança para sua rede de telefonia

Você pode ativar o Cisco Unified Communications Manager 11.5(1) ou versão posterior para operar em um ambiente de segurança avançada. Com esses aprimoramentos, sua rede de telefonia opera sob um conjunto de controles rígidos de gerenciamento de segurança e riscos para proteger você e seus usuários.

O ambiente de segurança optimizada inclui os seguintes recursos:

  • Autenticação de pesquisa de contatos.

  • O TCP como o protocolo padrão para o registro em log de auditoria remota.

  • Modo FIPS.

  • Uma política de credenciais aprimorada.

  • Suporte à família SHA-2 de hashes para assinaturas digitais.

  • Suporte para uma chave RSA de 512 e 4096 bits.


Observação
O Telefone IP Cisco só pode armazenar um número limitado de arquivos Identity Trust List (ITL). Os arquivos ITL não podem exceder o limite de 64K no limite, por isso, limite o número de arquivos que o Cisco Unified Communications Manager envia para o telefone.

Suporte a SIP OAuth

O modo SIP OAuth permite usar tokens de atualização OAuth para autenticação do telefone.

O Cisco Unified Communications Manager (Unified CM) verifica o token apresentado pelo telefone e serve os arquivos de configuração somente para os que forem autorizados. A validação do token OAuth durante o registro SIP é concluída quando a autorização baseada em OAuth está habilitada no cluster do Unified CM e nos telefones IP Cisco.

Os telefones Cisco IP são compatíveis com autenticação SIP OAuth no Proxy Trivial File Transfer Protocol (TFTP) e no Cisco Unified Survivable Remote Site Telephony (SRST).

  • Requisitos do SIP OAuth em TFTP:

    • Cisco Unified Communications Manager Versão 14.0(1)SU1 ou posterior

    • Telefone IP Cisco versão do firmware 14.1(1) ou posterior


    Observação

    Proxy TFTP e OAuth para proxy TFTP não são compatíveis com o Mobile Remote Access (MRA).

  • Requisitos do SIP OAuth em SRST:

    • Cisco Unified Communications Manager 14.0(1)SU1 ou posterior

    • Telefone IP Cisco versão do firmware 14.2(1) ou posterior

    • Versão de software Cisco SRST: IOS XE 17.8.1a ou posterior

    • Modelos de hardware do Cisco SRST: ISR1100, ISR43xx, ISR44xx, plataforma Catalyst 8200 ou Catalyst 8300

Para obter informações sobre como configurar o SIP OAuth, consulte Modo SIP OAuth no Guia de segurança do Cisco Unified Communications Manager.

Onde encontrar mais informações sobre a segurança do telefone

Para obter informações adicionais sobre a segurança, consulte o seguinte:

Recursos de segurança suportados

Os recursos de segurança protegem contra várias ameaças, incluindo ameaças à identidade do telefone e aos dados. Os recursos estabelecem e mantêm fluxos de comunicação autenticados entre o telefone e o servidor Cisco Unified Communications Manager, além de garantir que o telefone use apenas arquivos assinados digitalmente.

O Cisco Unified Communications Manager versão 8.5(1) e posterior inclui a opção Segurança por padrão, que fornece os seguintes recursos de segurança para Telefones IP Cisco sem executar o cliente CTL:

  • Assinatura dos arquivos de configuração do telefone

  • Criptografia dos arquivos de configuração do telefone

  • HTTPS com Tomcat e outros serviços Web


Observação

Os recursos de mídia e sinalização segura ainda exigem que você execute o cliente CTL e use eTokens físicos.

Implementar a segurança no sistema Cisco Unified Communications Manager impede o roubo de identidade do telefone e do servidor Cisco Unified Communications Manager, impede a violação de dados e impede a adulteração da sinalização de chamadas do fluxo de mídia.

Para minimizar essas ameaças, a rede de telefonia IP da Cisco estabelece e mantém fluxos de comunicação seguros (criptografados) entre um telefone e o servidor, assina digitalmente os arquivos antes de serem transferidos para um telefone e criptografa fluxos de mídia e a sinalização de chamadas entre Telefones IP Cisco.

Um LSC (Locally Significant Certificate) é instalado nos telefones depois que você executa as tarefas necessárias associadas à função de proxy de autoridade de certificação (CAPF). Você pode usar a Administração do Cisco Unified Communications Manager para configurar um LSC, conforme descrito no Guia de segurança do Cisco Unified Communications Manager. Opcionalmente, você pode iniciar a instalação de um LSC no menu Configuração de segurança do telefone. Este menu também permite atualizar ou remover um LSC.

Um LSC não pode ser usado como o certificado do usuário para EAP-TLS com autenticação WLAN.

Os telefones usam o perfil de segurança do telefone, que define se o dispositivo está seguro ou não. Para obter informações sobre como aplicar o perfil de segurança ao telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Se você definir configurações de segurança na Administração do Cisco Unified Communications Manager, o arquivo de configuração do telefone conterá informações confidenciais. Para garantir a privacidade de um arquivo de configuração, você deve configurá-lo para criptografia. Para obter informações detalhadas, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

O Telefone IP Cisco série 8800 está em conformidade com a norma FIPS (Federal Information Processing Standard). Para funcionar corretamente, o modo FIPS requer uma chave com 2048 bits ou mais. Se o certificado não tiver 2048 bits ou mais, o telefone não será registrado no Cisco Unified Communications Manager e será exibida a mensagem Falha ao registrar o telefone. O tamanho da chave do certificado não é compatível com FIPS é exibida no telefone.

Se o telefone tiver uma chave LSC, você precisa atualizar o tamanho dela para 2048 bits ou mais antes de ativar o modo FIPS.

A tabela a seguir fornece uma visão geral dos recursos de segurança suportados pelos telefones. Para obter mais informações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Para exibir as configurações de segurança atuais de um telefone, incluindo o modo de segurança, a lista de confiança e a autenticação 802.1X, pressione Aplicativos e escolha Definições do admin. > Configuração de segurança.

Tabela 1. Visão geral dos recursos de segurança

Recurso

Descrição

Autenticação de imagem

Arquivos binários assinados (com a extensão .sbn) impedem a adulteração da imagem do firmware antes que ela seja carregada em um telefone.

A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.

Criptografia de imagens

Arquivos binários criptografados (com a extensão .sebn) impedem a adulteração da imagem do firmware antes que ela seja carregada em um telefone.

A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.

Instalação de certificado no site do cliente

Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um Certificado instalado pelo fabricante (MIC), mas, para segurança adicional, você pode especificar a instalação do certificado na Administração do Cisco Unified Communications Manager usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa, é possível instalar um LSC (Certificado localmente significativo) no menu Configuração de segurança no telefone.

Autenticação do dispositivo

Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário, cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não registra os telefones a menos que possa autenticá-los.

Autenticação de arquivo

Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento.

Criptografia de arquivos

A criptografia impede que informações confidenciais sejam reveladas enquanto o arquivo estiver em trânsito para o telefone. Além disso, o telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento.

Autenticação de sinalização

Usa o protocolo TLS para confirmar que não tenha havido adulteração dos pacotes de sinalização durante a transmissão.

Certificado instalado pelo fabricante

Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo. O MIC fornece uma prova de identidade exclusiva e permanente para o telefone e permite que o Cisco Unified Communications Manager autentique o telefone.

Criptografia de mídia

Usa o SRTP para garantir que os fluxos de mídia entre dispositivos suportados comprovem segurança e que apenas o dispositivo programado receba e leia os dados. Inclui criação de um par de chaves primárias de mídia para os dispositivos, fornecendo as chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas.

CAPF (Função de proxy de autoridade de certificação)

Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente.

Perfil de segurança

Define se o telefone não é seguro e se está autenticado, criptografado ou protegido. Outras entradas nesta tabela descrevem os recursos de segurança.

Arquivos de configuração criptografados

Permite que você assegure a privacidade dos arquivos de configuração do telefone.

Desativação do servidor Web opcional para um telefone

Para fins de segurança, você pode impedir o acesso às páginas da Web para um telefone (que exibem uma variedade de estatísticas operacionais para o telefone) e ao Portal de Ajuda.

Proteção do telefone

Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:

  • Desativar a porta do PC
  • Desativar o ARP gratuito (GARP)
  • Desativar o acesso à VLAN de voz do PC
  • Desativar o acesso aos menus de Configuração ou fornecer acesso restrito que permite acesso ao menu Preferências e salvar as apenas as alterações de volume
  • Desativar o acesso às páginas da Web de um telefone
  • Desativar a porta do acessório Bluetooth

  • Restringir codificações de TLS

Autenticação 802.1X

O Telefone IP Cisco pode usar autenticação 802.1X para solicitar e obter acesso à rede. Consulte Autenticação 802.1X para obter mais informações.

Failover de SIP seguro para SRST

Depois de configurar uma referência SRST (Survivable Remote Site Telephony) para segurança e redefinir os dispositivos dependentes na Administração do Cisco Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para SRST.

Criptografia de sinalização

Garante que todas as mensagens de sinalização SIP que são enviadas entre o dispositivo e o servidor Cisco Unified Communications Manager sejam criptografadas.

Alarme de atualização da lista de confiança

Quando a lista de confiança é atualizada no telefone, o Cisco Unified Communications Manager recebe um alarme para indicar o sucesso ou a falha da atualização. Consulte a tabela a seguir para obter mais informações.

Criptografia AES 256

Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o padrão FIPS (Federal Information Processing Standards). As codificações incluem:

  • Para conexões TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Para sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.

Certificados Elliptic Curve Digital Signature Algorithm (ECDSA)

Como parte da certificação Common Criteria (CC), o Cisco Unified Communications Manager adicionou certificados ECDSA na versão 11.0. Isso afeta todos os produtos de Voice Operating System (VOS) da versão de CUCM 11.5 e posterior.

A tabela a seguir contém as mensagens de alarme de atualização da lista de confiança e seus significados. Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager

Tabela 2. Mensagens de alarme de atualização da lista de confiança
Código e mensagem Descrição

1 - TL_SUCCESS

Nova CTL e/ou ITL recebida

2 - CTL_INITIAL_SUCCESS

Nova CTL recebida, nenhuma TL existente

3 - ITL_INITIAL_SUCCESS

Nova ITL recebida, nenhuma TL existente

4 - TL_INITIAL_SUCCESS

Nova CTL e ITL recebidas, nenhuma TL existente

5 - TL_FAILED_OLD_CTL

Falha na atualização da nova CTL, mas há uma TL anterior

6 - TL_FAILED_NO_TL

Falha na atualização da nova TL e nenhuma TL anterior

7 - TL_FAILED

Falha genérica

8 - TL_FAILED_OLD_ITL

Falha na atualização da nova ITL, mas há uma TL anterior

9 - TL_FAILED_OLD_TL

Falha na atualização da nova TL, mas há uma TL anterior

O menu Configuração de segurança fornece informações sobre várias configurações de segurança. O menu também fornece acesso ao menu Lista de confiança e indica se o arquivo CTL ou ITL está instalado no telefone.

A tabela a seguir descreve as opções do menu Configuração de segurança.

Tabela 3. Menu Configuração de segurança

Opção

Descrição

Para alterar

Modo de segurança

Exibe o modo de segurança que é definido para o telefone.

Na Administração do Cisco Unified Communications Manager, escolha Dispositivo > Telefone. A configuração aparece na parte Informações específicas do protocolo da janela de Configuração do telefone.

LSC

Indica se um certificado localmente significativo que é usado para os recursos de segurança está (Sim) ou não está (Não) instalado no telefone.

Para obter informações sobre como gerenciar o LSC do telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Lista de certific. credíveis

A lista de confiança fornece submenus para os arquivos CTL, ITL e configuração assinada.

O submenu Arquivo CTL exibe o conteúdo do arquivo CTL. O submenu Arquivo ITL exibe o conteúdo do arquivo ITL.

O menu Lista de confiança também exibe as seguintes informações:

  • Assinatura CTL: o hash SHA1 do arquivo CTL

  • Servidor Unified CM/TFTP: o nome do servidor Cisco Unified Communications Manager e do Servidor TFTP usado pelo telefone. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.

  • Servidor CAPF: o nome do servidor CAPF usado pelo telefone. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.

  • Roteador SRST: o endereço IP do roteador SRST confiável que o telefone pode usar. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.

Para obter mais informações, consulte Configurar um certificado localmente significativo.

Autenticação 802.1X

Permite ativar a autenticação 802.1X para este telefone.

Consulte Autenticação 802.1X.

Compatibilidade reversa com WPA

Determina se a versão mais antiga do Wi-Fi Protected Access (WPA) é compatível com o telefone para se conectar a uma rede sem fio (SSID).

  • Se definido como Ligado, o telefone pode pesquisar e se conectar a redes sem fio criptografadas por todas as versões da WPA (WPA, WPA2 e WPA3). Especialmente, a versão mais antiga da WPA é suportada.

    Observação

     

    Se você desativar o recurso após a conexão WPA (versão mais antiga) ter sido estabelecida, o telefone se desconectará automaticamente da rede sem fio.

  • Se definido como Desligado, o telefone pode apenas pesquisar e se conectar a redes sem fio criptografadas por versões mais recentes da WPA, que são WPA2 e WPA3.

Padrão: desativada.

Aplicativo > Configurações do administrador > Configuração de segurança >

Configurar um certificado localmente significativo

Essa tarefa se aplica à configuração de um LSC com o método de cadeia de autenticação.

Antes de Iniciar

Verifique se configurações de segurança apropriadas do Cisco Unified Communications Manager e da CAPF (Função de proxy de autoridade de certificação) foram concluídas:

  • O arquivo CTL ou ITL tem um certificado CAPF.

  • Na Administração do sistema operacional do Cisco Unified Communications, verifique se o certificado CAPF está instalado.

  • A CAPF está em execução e foi configurada.

Para obter mais informações sobre essas configurações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Procedimento

Etapa 1

Obtenha o código de autenticação da CAPF que foi definido quando a CAPF foi configurada.

Etapa 2

No telefone, pressione Aplicativos .

Etapa 3

Selecione Configurações do administrador > Configurações de segurança.

Observação

 

Você pode controlar o acesso ao menu Configurações usando o campo Acesso às configurações na janela Configuração do telefone da Administração do Cisco Unified Communications Manager.

Etapa 4

Escolha LSC e pressione Selecionar ou Atualizar.

O telefone solicita uma string de autenticação.

Etapa 5

Insira o código de autenticação e pressione Enviar.

O telefone começa a instalar, atualizar ou remover o LSC, dependendo de como a CAPF foi configurada. Durante o procedimento, uma série de mensagens aparecerá no campo Opção de LSC no menu Configuração de segurança para que você possa monitorar o andamento. Quando o procedimento estiver concluído, será exibida a mensagem Instalado ou Não instalado no telefone.

O processo de instalação, atualização ou remoção do LSC pode demorar bastante para ser concluído.

Quando o procedimento de instalação do telefone for bem-sucedido, a mensagem Instalado será exibida. Se o telefone exibir Não instalado, a string de autorização pode estar incorreta ou a atualização do telefone pode não estar ativada. Se a operação de CAPF excluir o LSC, o telefone exibirá Não instalado para indicar que a operação foi bem-sucedida. O servidor CAPF registra em log as mensagens de erro. Consulte a documentação do servidor CAPF para localizar os logs e entender o significado das mensagens de erro.

Ativar modo FIPS

Procedimento

Etapa 1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone e localize o telefone.

Etapa 2

Navegue até a área Configuração específica do produto.

Etapa 3

Defina o campo Modo FIPS como Ativado.

Etapa 4

Selecione Aplicar config.

Etapa 5

Selecione Salvar.

Etapa 6

Reinicie o telefone.

Segurança da chamada telefônica

Quando a segurança é implementada para um telefone, você pode identificar chamadas telefônicas seguras por ícones na tela do telefone. Também será possível determinar se o telefone conectado está seguro e protegido se um tom de segurança for tocado no início da chamada.

Em uma chamada segura, todos os fluxos de mídia e sinalização de chamada são criptografados. Uma chamada segura oferece um alto nível de segurança, fornecendo integridade e privacidade à chamada. Quando uma chamada em andamento é criptografada, o ícone de andamento da chamada à direita do temporizador de duração da chamada na tela do telefone muda para o seguinte ícone:


Observação

Se a chamada for roteada por meio de segmentos de chamada não IP, por exemplo, o PSTN, ela poderá não ser segura, mesmo que esteja criptografada na rede IP e tenha um ícone de cadeado associado a ela.

Em uma chamada segura, um tom de segurança é tocado no início para indicar que o outro telefone conectado também está recebendo e transmitindo áudio seguro. Se a chamada se conectar a um telefone não seguro, o tom de segurança não será tocado.


Observação

A chamada segura é permitida em conexões apenas entre dois telefones. Alguns recursos, como chamada de conferência e linhas compartilhadas, não são disponibilizados quando a chamada segura é configurada.

Quando um telefone é configurado como seguro (criptografado e confiável) no Cisco Unified Communications Manager, ele pode receber o status de "protegido". Depois disso, se desejado, o telefone protegido pode ser configurado para tocar um tom indicativo no início de uma chamada:

  • Dispositivo protegido: para alterar o status de um telefone seguro para protegido, marque a caixa de seleção Dispositivo protegido na janela Configuração do telefone na Administração do Cisco Unified Communications Manager (Dispositivo > Telefone).

  • Tocar tom indicativo de seguro: para permitir que o telefone protegido toque um tom indicativo de seguro ou não seguro, defina a configuração Play Secure Indication Tone (Tocar tom indicativo de seguro) como Verdadeiro. Por padrão, a opção Tocar tom indicativo de seguro é definida como Falso. Você define essa opção na Administração do Cisco Unified Communications Manager (Sistema > Parâmetros de serviço). Selecione o servidor e, em seguida, o serviço do Unified Communications Manager. Na janela Configuração de parâmetro de serviço, selecione a opção na área Recurso - Tom de seguro. O padrão é Falso.

Identificação de chamada de conferência segura

Você pode iniciar uma chamada de conferência segura e monitorar o nível de segurança dos participantes. Uma chamada de conferência segura é estabelecida por este processo:

  1. Um usuário inicia a conferência de um telefone seguro.

  2. O Cisco Unified Communications Manager atribui um recurso de conferência seguro à chamada.

  3. Conforme os participantes são adicionados, o Cisco Unified Communications Manager verifica o modo de segurança de cada telefone e mantém o nível seguro para a conferência.

  4. O telefone exibe o nível de segurança da chamada de conferência. Uma conferência segura exibe o ícone de proteção à direita da Conferência na tela do telefone.


Observação

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

A tabela a seguir fornece informações sobre alterações nos níveis de segurança da conferência, de acordo com o nível de segurança do telefone do iniciador, os níveis de segurança dos participantes e a disponibilidade dos recursos de conferência seguros.

Tabela 4. Restrições de segurança com chamadas de conferência

Nível de segurança do telefone do iniciador

Recurso usado

Nível de segurança dos participantes

Resultados da ação

Não seguro

Conferência

Seguro

Recurso de conferência não seguro

Conferência não segura

Seguro

Conferência

Pelo menos um membro não seguro.

Recurso de conferência seguro

Conferência não segura

Seguro

Conferência

Seguro

Recurso de conferência seguro

Conferência de nível criptografado seguro

Não seguro

Meet Me

Nível mínimo de segurança é criptografado.

O iniciador recebe a mensagem Does not meet Security Level, call rejected (Não atende ao Nível de segurança, chamada rejeitada).

Seguro

Meet Me

Nível mínimo de segurança é não seguro.

Recurso de conferência seguro

A conferência aceita todas as chamadas.

Identificação de chamada telefônica segura

Uma chamada segura é estabelecida quando seu telefone, assim como o telefone na outra ponta, é configurado para chamada segura. O outro telefone pode estar na mesma rede IP Cisco ou em uma rede fora da rede IP. As chamadas seguras podem ser feitas apenas entre dois telefones. As chamadas de conferência devem dar suporte à chamada segura após a configuração do recurso de conferência protegida.

Uma chamada segura é estabelecida usando este processo:

  1. Um usuário inicia a chamada de um telefone seguro (modo de segurança protegido).

  2. O ícone de proteção é exibido na tela do telefone. Esse ícone indica que o telefone está configurado para chamadas seguras, mas isso não significa que o outro telefone conectado também está protegido.

  3. O usuário ouve um tom de segurança se a chamada se conectar a outro telefone protegido, indicando que ambas as extremidades da conversa estão criptografadas e protegidas. Se a chamada se conectar a um telefone não seguro, o usuário não ouvirá o tom de segurança.


Observação

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

Somente os telefones protegidos tocam esses tons indicativos de telefones seguros ou não seguros. Os telefones não protegidos nunca tocam tons. Se o status geral da chamada mudar durante a chamada, o tom indicativo também mudará e o telefone protegido tocará o tom apropriado.

Um telefone protegido toca um tom ou não sob estas circunstâncias:

  • Quando a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver ativada:

    • Quando uma mídia segura de ponta a ponta for estabelecida e o status da chamada for seguro, o telefone tocará o tom indicativo seguro (três bipes longos com pausas).

    • Quando uma mídia não segura de ponta a ponta for estabelecida e o status da chamada for não seguro, o telefone tocará o tom indicativo não seguro (seis bipes curtos com pausas rápidas).

Se a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver desativada, nenhum tom será tocado.

Fornecer criptografia para intercalação

O Cisco Unified Communications Manager verifica o status de segurança do telefone quando são estabelecidas conferências e muda a indicação de segurança da conferência ou bloqueia a conclusão da chamada para manter a segurança e a integridade do sistema.

Um usuário não pode entrar em uma chamada criptografada se o telefone usado para isso não está configurado para criptografia. Quando a intercalação falha nesse caso, é reproduzido um tom de reordenação (sinal de ocupado) no telefone em que a intercalação foi iniciada.

Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada não segura do telefone criptografado. Depois que acontece a intercalação, o Cisco Unified Communications Manager classifica a chamada como não segura.

Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada criptografada e o telefone indicará que a chamada está criptografada.

Segurança na WLAN

Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que intrusos não manipulem nem interceptem o tráfego de voz, a arquitetura do Cisco SAFE Security oferece suporte para os APs do Telefone IP Cisco e do Cisco Aironet. Para obter mais informações sobre a segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A solução de telefonia IP sem fio da Cisco fornece segurança de rede sem fio que impede inícios de sessão não autorizados e comunicações comprometidas usando os seguintes métodos de autenticação aceitos pelo Telefone IP sem fio Cisco:

  • Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o AP pode não estar criptografada ou os dispositivos podem usar chaves WEP para fornecer segurança. Os dispositivos que usam WEP só tentam se autenticar com um ponto de acesso que está usando WEP.

  • Autenticação EAP-FAST: essa arquitetura de segurança de cliente-servidor criptografa transações EAP dentro de um túnel TLS entre o AP e o servidor RADIUS, como o Cisco Access Control Server (ACS).

    O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.


    Observação

    No Cisco ACS, por padrão, a PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento da PAC, defina o período de expiração para 90 dias ou mais no servidor ACS ou RADIUS.

  • Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS com fio, o certificado de cliente pode ser o MIC ou LSC do telefone. O LSC é o certificado de autenticação de cliente recomendado para EAP-TLS com fio.

  • Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O Telefone IP Cisco pode usar PEAP para autenticação na rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.

Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:

  • WPA/WPA2: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA/WPA2 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.

  • Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados para o CCKM, para uma nova autenticação rápida e segura. O Telefone IP Cisco série 8800 oferece suporte para 802.11r (FT). 11r (FT) e CCKM são compatíveis para permitir roaming rápido e seguro. Mas a Cisco recomenda altamente a utilização do método pelo ar 802.11r (FT).

Com o WPA/WPA2 e o CCKM, as chaves de criptografia não são inseridas no telefone, mas derivadas automaticamente entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.

Para garantir que o tráfego de voz esteja seguro, o Telefone IP Cisco oferece suporte para WEP, TKIP e padrões de criptografia avançada (AES) para criptografia. Quando esses mecanismos são usados para criptografia, tanto os pacotes SIP de sinalização quanto os pacotes RTP (Real-Time Transport Protocol) de voz são criptografados entre o AP e o Telefone IP Cisco.

WEP

Com o uso do WEP na rede sem fio, a autenticação acontece no AP usando a autenticação de chave aberta ou de chave compartilhada. A chave WEP configurada no telefone deve corresponder à chave WEP que está configurada no AP para que as conexões sejam bem-sucedidas. O Telefone IP Cisco oferece suporte para chaves WEP que usam criptografia de 40 bits ou uma criptografia de 128 bits e permanecem estáticas no telefone e no AP.

A autenticação EAP e do CCKM pode usar chaves WEP para criptografia. O servidor RADIUS gerencia a chave WEP e passa uma chave exclusiva para o AP depois da autenticação para criptografar todos os pacotes de voz; consequentemente, essas chaves WEP podem mudar a cada autenticação.

TKIP

WPA e CCKM usam criptografia TKIP, que tem diversas melhorias em relação ao WEP. TKIP fornece vetores de inicialização (IVs) mais longos e criptografia de chave por pacote que reforçam a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a capacidade de previsão do WEP que ajuda os invasores a decifrar a chave WEP.

AES

Um método de criptografia usado para autenticação WPA2. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de pelo menos 128, 192 e 256 bits. O Telefone IP Cisco suporta um tamanho de chave de 256 bits.


Observação

O Telefone IP Cisco não oferece suporte para o protocolo de integridade de chave Cisco (CKIP) com CMIC.

Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos cliente sem fio sejam autenticados corretamente, você deve configurar os mesmos SSIDs com os esquemas de autenticação e criptografia deles nos APs e no Telefone IP Cisco.

Alguns esquemas de autenticação exigem tipos específicos de criptografia. Com a autenticação aberta, você pode usar WEP estático para criptografia para aumentar a segurança. Mas se você estiver usando autenticação de chave compartilhada, deve configurar o WEP estático para criptografia e uma chave WEP no telefone.


Observação
  • Quando você usa uma chave pré-compartilhada WPA ou WPA2, a chave pré-compartilhada deve ser definida de forma estática no telefone. Essas chaves devem coincidir com as chaves que estão no AP.

  • O Telefone IP Cisco não oferece suporte para negociação automática de EAP; para usar o modo EAP-FAST, você deve especificá-lo.

A tabela a seguir mostra uma lista de esquemas de autenticação e criptografia configurados nos APs do Cisco Aironet que são suportados pelo Telefone IP Cisco. A tabela mostra a opção de configuração de rede para o telefone que corresponde à configuração do AP.

Tabela 5. Esquemas de autenticação e criptografia

Configuração do Telefone IP Cisco

Configuração do AP

Modo de segurança

Segurança

Gerenciamento de tecla

Criptografia

Roaming rápido

Nenhuma

Nenhuma

Nenhuma

Nenhuma

N/A

WEP

WEP estático

Static

WEP

N/A

PSK

PSK

WPA

TKIP

Nenhuma

WPA2

AES

FT

EAP-FAST

EAP-FAST

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

EAP-TLS

EAP-TLS

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-MSCHAPV2

PEAP-MSCHAPV2

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-GTC

PEAP-GTC

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

Para obter mais informações sobre como configurar esquemas de autenticação e criptografia em APs, consulte o Cisco Aironet Configuration Guide do seu modelo e versão no seguinte URL:

http://www.cisco.com/cisco/web/psa/configure.html?mode=prod&level0=278875243

Configurar modo de autenticação

Para selecionar o modo de autenticação para este perfil, siga estas etapas:

Procedimento

Etapa 1

Escolha o perfil de rede que você deseja configurar.

Etapa 2

Selecione o modo de autenticação.

Observação

 

Dependendo do que você selecionou, você deverá configurar opções adicionais na segurança sem fio ou na criptografia sem fio. Consulte Segurança na WLAN para obter mais informações.

Etapa 3

Clique em Salvar para fazer a alteração.

Credenciais de segurança sem fio

Quando a sua rede usa EAP-FAST e PEAP para autenticação dos usuários, você tem que configurar o nome de usuário e a senha, se necessário no Remote Authentication Dial-In User Service (RADIUS) e no telefone.


Observação

Se você usa domínios na rede, deve inserir o nome de usuário com o nome de domínio no formato: domínio\nomedeusuário.

As seguintes ações podem fazer com que a senha de Wi-Fi seja apagada:

  • Digitar um id de usuário ou uma senha inválidos

  • Instalar uma CA de raiz inválida ou vencida quando o tipo de EAP está definido como PEAP MSCHAPV2 ou PEAP-GTC

  • Desativar o tipo de EAP no servidor RADIUS usado pelo telefone antes de mudar um telefone para o novo tipo de EAP

Para mudar os tipos de EAP, faça o seguinte nesta ordem:

  • Ative os novos tipos de EAP no RADIUS.

  • Mude o tipo de EAP em um telefone para o novo tipo de EAP.

Mantenha o tipo de EAP atual configurado no telefone até que o novo tipo de EAP esteja ativado no servidor RADIUS. Depois que o novo tipo de EAP estiver ativado no servidor RADIUS, você poderá mudar o tipo de EAP do telefone. Depois que todos os telefones tiverem sido alterados para o novo tipo de EAP, se quiser você poderá desativar o tipo de EAP anterior.

Configurar nome de usuário e senha

Para inserir ou alterar o nome de usuário ou a senha do perfil de rede, você deve usar o mesmo nome de usuário e a mesma string de senha que estiverem configurados no servidor RADIUS. O comprimento máximo da entrada de nome de usuário ou senha é de 64 caracteres.

Para configurar o nome de usuário e a senha nas Credenciais de segurança sem fio, siga estas etapas:

Procedimento

Etapa 1

Escolha o perfil de rede.

Etapa 2

No campo Nome do usuário, insira o nome do usuário da rede para este perfil.

Etapa 3

No campo Senha, insira a string de senha da rede para este perfil.

Etapa 4

Clique em Salvar para fazer a alteração.

Configuração de chave pré-compartilhada

Use as seções a seguir para ajudá-lo a configurar as chaves pré-compartilhadas.

Formatos de chave pré-compartilhada

O Telefone IP Cisco é compatível com os formatos ASCII e hexadecimal. Você deve usar um destes formatos ao configurar uma chave WPA pré-compartilhada:

Hexadecimal

Para chaves hexadecimais, insira 64 dígitos hexadecimais (0-9 e A-F); por exemplo, AB123456789CD01234567890EFAB123456789CD01234567890EF3456789C

ASCII

Para chaves ASCII, insira uma string de caracteres que use 0-9, A-Z (maiúsculas e minúsculas), incluindo símbolos, e que tenha de 8 a 63 caracteres; por exemplo, GREG12356789ZXYW

Configurar PSK

Para configurar um PSK na área Credenciais de sem fio, siga estas etapas:

Procedimento

Etapa 1

Escolha o perfil de rede que ativa a chave WPA ou WPA2 pré-compartilhada.

Etapa 2

Na área de tipo de chave, insira a chave apropriada.

Etapa 3

Insira uma string ASCII ou dígitos hexadecimais no campo Senha/Chave pré-compartilhada.

Etapa 4

Clique em Salvar para fazer a alteração.

Criptografia sem fio

Se a sua rede sem fio usar a criptografia WEP e você definir o Modo de autenticação como Abrir + WEP, você deverá inserir uma chave WEP ASCII ou hexadecimal.

As chaves WEP para o telefone deverão corresponder às chaves WEP atribuídas ao ponto de acesso. O Telefone IP Cisco e os pontos de acesso Cisco Aironet dão suporte a chaves de criptografia de 40 e de 128 bits.

Formatos de chave WEP

Você deve usar um destes formatos ao configurar uma chave WEP:

Hexadecimal

Para chaves hexadecimais, utilize um dos seguintes tamanhos de chave:

40 bits

Insira uma string de chave de criptografia com 10 dígitos que use os dígitos hexadecimais (0-9 e A-F); por exemplo, ABCD123456.

128 bits

Insira uma string de chave de criptografia com 26 dígitos que use os dígitos hexadecimais (0-9 e A-F); por exemplo, AB123456789CD01234567890EF.

ASCII

Para chaves ASCII, insira uma string de caracteres que use 0-9, A-Z (maiúsculas e minúsculas) e todos os símbolos, com um dos seguintes tamanhos de chave:

40 bits

Insira uma string de 5 caracteres; por exemplo, GREG5.

128 bits

Insira uma string de 13 caracteres; por exemplo, GREGSSECRET13.

Configurar chaves WEP

Para configurar as chaves WEP, siga estas etapas.

Procedimento

Etapa 1

Escolha o perfil de rede que usa Abrir+WEP ou Compartilhado+WEP.

Etapa 2

Na área de tipo de chave, insira a chave apropriada.

Etapa 3

Na área Tamanho da chave, escolha um destes tamanhos de string de caracteres:

  • 40

  • 128

Etapa 4

No campo Chave de criptografia, digite a string de chave apropriada com base na seleção de Tipo de chave e Tamanho da chave. Consulte Formatos de chave WEP.

Etapa 5

Clique em Salvar para fazer a alteração.

Exportar um certificado de CA do ACS usando o Microsoft Certificate Services

Exporte o certificado CA raiz de servidor do ACS. Para obter mais informações, consulte a documentação de CA ou RADIUS.

Certificado instalado pelo fabricante

A Cisco incluiu um Certificado instalado pelo fabricante (MIC) no telefone, na fábrica.

Durante a autenticação EAP-TLS, o servidor ACS precisa verificar a confiabilidade do telefone, e o telefone precisa verificar a confiabilidade do servidor ACS.

Para verificar o MIC, o Certificado raiz do fabricante e o Certificado de CA do fabricante devem ser exportados de um Telefone IP Cisco e instalados no servidor Cisco ACS. Esses dois certificados fazem parte da cadeia de certificados confiáveis usada para verificar o MIC pelo servidor Cisco ACS.

Para verificar o certificado do Cisco ACS, um certificado subordinado confiável (se houver um) e o certificado raiz (criado por uma CA) no servidor Cisco ACS devem ser exportados e instalados no telefone. Esses certificados fazem parte da cadeia de certificados confiáveis usada para verificar a confiabilidade do certificado do servidor ACS.

Certificado instalado pelo usuário

Para usar um certificado instalado pelo usuário, uma solicitação de assinatura de certificado (CSR) é gerada no telefone e enviada para a autoridade de certificação (CA) para aprovação. Um certificado de usuário também pode ser gerado pela autoridade de certificação sem um CSR.

Durante a autenticação EAP-TLS, o servidor ACS verifica a confiabilidade do telefone, e o telefone verifica a confiabilidade do servidor ACS.

Para verificar a autenticidade do certificado instalado pelo usuário, você deve instalar um certificado subordinado confiável (se houver) e o certificado raiz da CA que aprovou o certificado do usuário no servidor Cisco ACS. Esses certificados fazem parte da cadeia de certificados confiáveis usada para verificar a confiabilidade do certificado instalado pelo usuário.

Para verificar o certificado do Cisco ACS, você pode exportar um certificado subordinado confiável (se houver) e o certificado raiz (criado por uma CA) no servidor Cisco ACS, e os certificados exportados serão instalados no telefone. Esses certificados fazem parte da cadeia de certificados confiáveis usada para verificar a confiabilidade do certificado do servidor ACS.

Instalar certificados de autenticação EAP-TLS

Para instalar certificados de autenticação para EAP-TLS, execute as seguintes etapas.

Procedimento

Etapa 1

Na página da Web do telefone, defina a data e a hora do Cisco Unified Communications Manager no telefone.

Etapa 2

Se estiver usando o MIC (Certificado instalado pelo fabricante):

  1. Na página da Web do telefone, exporte o certificado raiz da CA e o certificado de CA do fabricante.

  2. No Internet Explorer, instale os certificados no servidor Cisco ACS e edite a lista de confiança.

  3. Importe a CA raiz para o telefone.

    Para obter mais informações, consulte:

Etapa 3

Usando a ferramenta de configuração do ACS, configure a conta do usuário.

Para obter mais informações, consulte:

Definir data e hora

O EAP-TLS usa a autenticação baseada em certificado que exige que o relógio interno do Telefone IP Cisco seja definido corretamente. A data e hora no telefone podem mudar quando ele é registrado no Cisco Unified Communications Manager.


Observação

Se um novo certificado de autenticação de servidor estiver sendo solicitado, e a hora local estiver atrás da hora GMT (Greenwich Mean Time), a validação do certificado de autenticação poderá falhar. A Cisco recomenda que você defina a data e hora locais antes da hora GMT.

Para definir o telefone com a data e hora locais corretas, siga estas etapas.

Procedimento

Etapa 1

Selecione Data e hora no painel de navegação esquerdo.

Etapa 2

Se a configuração do campo Data e hora do telefone atual for diferente do campo Data e hora local, clique em Definir telefone para data e hora local.

Etapa 3

Clique em Reinício do telefone e em OK.

Exportar e instalar certificados no ACS

Para usar o MIC, exporte o Certificado raiz do fabricante e o Certificado de CA do fabricante e instale-o no servidor Cisco ACS.

Para exportar o certificado raiz do fabricante e o certificado de CA do fabricante para o servidor ACS, siga estas etapas.

Procedimento

Etapa 1

Na página da Web do telefone, escolha Certificados.

Etapa 2

Clique em Exportar ao lado do Certificado raiz do fabricante.

Etapa 3

Salve o certificado e o copie-o para o servidor ACS.

Etapa 4

Repita as Etapas 1 e 2 para o Certificado de CA do fabricante.

Etapa 5

Na página de Configuração do sistema do servidor ACS, insira o caminho do arquivo de cada certificado e instale os certificados.

Observação

 

Para obter mais informações sobre como usar a ferramenta de configuração do ACS, consulte a Ajuda online do ACS ou o Guia do usuário do Cisco Secure ACS para Windows(http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-user-guide-list.html).

Etapa 6

Use a página Editar Lista de certificados confiáveis (CTL) para adicionar os certificados confiáveis para o ACS.

Métodos de exportação de certificados do ACS

Dependendo do tipo de certificado exportado do ACS, utilize um dos seguintes métodos:

Exportar um certificado de CA do ISE usando o Microsoft Certificate Services

Use este método para exportar o certificado de CA do servidor ISE que assinou o certificado instalado pelo usuário ou o certificado do ISE.

Para exportar o certificado de CA usando a página da Web do Microsoft Certificate Services, siga estas etapas.

Procedimento

Etapa 1

Na página da Web do Microsoft Certificate Services, selecione Download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados.

Etapa 2

Na página seguinte, realce o certificado de CA atual na caixa de texto, escolha DER sob o Método de codificação e clique em Baixar certificado da autoridade de certificação.

Etapa 3

Salve o certificado de CA.

Exportar um certificado de CA do ACS usando o Internet Explorer

Use este método para exportar o certificado da CA do servidor ACS que usa um certificado autoassinado.

Para exportar certificados do servidor ACS usando o Internet Explorer, siga estas etapas.

Procedimento

Etapa 1

No Internet Explorer, escolha Ferramentas > Opções da Internet e clique na guia Conteúdo.

Etapa 2

Em Certificados, clique em Certificados e clique na guia Autoridades de certificação confiáveis.

Etapa 3

Realce o certificado raiz e clique em Exportar. O Assistente para exportação de certificados será exibido.

Etapa 4

Clique em Próximo.

Etapa 5

Na janela seguinte, selecione X.509 binário codificado por DER (*.cer) e clique em Avançar.

Etapa 6

Especifique um nome para o certificado e clique em Avançar.

Etapa 7

Salve o certificado de CA para ser instalado no telefone.

Solicitar e importar um certificado instalado pelo usuário

Para solicitar e instalar o certificado no telefone, siga estas etapas.

Procedimento

Etapa 1

Na página da web de telefone, selecione o perfil de rede usando EAP-TLS e selecione Instalado pelo usuário no campo de certificado EAP-TLS.

Etapa 2

Clique em Certificados.

Na página de instalação do certificado de usuário, verifique se o nome de usuário coincide com o campo de nome comum no servidor ACS.

Observação

 

Se quiser, você pode editar o campo de nome comum. Certifique-se de que ele coincide com o nome de usuário no servidor ACS. Consulte Configurar conta de usuário do ACS e instalar certificado.

Etapa 3

Digite as informações a serem exibidas no certificado e clique em Enviar para gerar a solicitação de assinatura do certificado (CSR).

Instalar um certificado raiz de servidor de autenticação

Para instalar o certificado raiz de servidor de autenticação no telefone, siga estas etapas.

Procedimento

Etapa 1

Exporte o certificado raiz de servidor de autenticação do ACS. Consulte Métodos de exportação de certificados do ACS.

Etapa 2

Vá para a página da Web do telefone e escolha Certificados.

Etapa 3

Clique em Importar ao lado do certificado raiz de servidor de autenticação.

Etapa 4

Reinicie o telefone.

Configurar conta de usuário do ACS e instalar certificado

Para configurar o nome da conta de usuário e instalar o certificado raiz MIC para o telefone no ACS, siga estas etapas.


Observação

Para obter mais informações sobre como usar a ferramenta de configuração do ACS, consulte a Ajuda online do ACS ou o Guia do usuário do Cisco Secure ACS para Windows.

Procedimento

Etapa 1

Na página de configuração de usuário da ferramenta de configuração do ACS, crie um nome de conta de usuário do telefone se ele ainda não estiver configurado.

Normalmente, o nome de usuário inclui o endereço MAC do telefone no final. Nenhuma senha é necessária para EAP-TLS.

Observação

 

Verifique se o nome de usuário coincide com o campo de nome comum na página de instalação do certificado de usuário. Consulte Solicitar e importar um certificado instalado pelo usuário.

Etapa 2

Na página de configuração do sistema, na seção EAP-TLS, ative estes campos:

  • Permitir EAP-TLS

  • Comparação de certificado CN

Etapa 3

Na página de configuração da autoridade de certificação do ACS, adicione ao servidor ACS o certificado raiz de fabricação e o certificado da autoridade de certificação de fabricação.

Etapa 4

Ative o certificado raiz de fabricação e o certificado da autoridade de certificação de fabricação na lista de certificados confiáveis do ACS.

Configuração de PEAP

O protocolo PEAP (Protected Extensible Authentication Protocol) usa certificados de chave pública no lado do servidor para autenticar clientes criando um túnel SSL/TLS criptografado entre o cliente e o servidor de autenticação.

O Telefone IP Cisco 8865 é compatível apenas com um certificado de servidor que pode ser instalado através de SCEP ou o método de instalação manual mas não com ambos. O telefone não suporta o método de TFTP de instalação do certificado.


Observação

A validação do servidor de autenticação pode ser ativada importando-se o certificado do servidor de autenticação.
Antes de iniciar

Antes de configurar a autenticação PEAP para o telefone, assegure-se de que estes requisitos do Cisco Secure ACS sejam atendidos:

  • O certificado raiz do ACS deve estar instalado.

  • Um certificado também pode ser instalado para ativar a validação do servidor para PEAP. Mas, se um certificado de servidor estiver instalado, a validação do servidor é ativada.

  • A configuração para Permitir o EAP-MSCHAPv2 deve estar ativada.

  • A conta de usuário e a senha devem estar configuradas.

  • Para a autenticação de senha, você pode usar o banco de dados do ACS local ou um externo (como Windows ou LDAP).

Ativar a autenticação PEAP
Procedimento

Etapa 1

Na página da Web de configuração do telefone, escolha PEAP como o modo de autenticação.

Etapa 2

Digite um nome de usuário e uma senha.

Segurança da LAN sem fio

Os telefones Cisco compatíveis com Wi-Fi têm mais requisitos de segurança e exigem configuração extra. Essas etapas extras incluem instalar certificados e configurar a segurança nos telefones e no Cisco Unified Communications Manager.

Para obter mais informações, consulte o Guia de segurança do Cisco Unified Communications Manager.

Página de administração do Telefone IP Cisco

Os telefones Cisco que oferecem suporte de Wi-Fi possuem páginas da Web especiais diferentes das páginas de outros telefones. Você utiliza essas páginas da Web especiais para configuração de segurança do telefone quando o SCEP (Simple Certificate Enrollment Protocol) não estiver disponível. Use essas páginas para instalar manualmente certificados de segurança em um telefone, para baixar um certificado de segurança ou para configurar manualmente a data e hora do telefone.

Essas páginas da Web também mostram as mesmas informações que você vê em páginas da Web de outros telefones, incluindo informações do dispositivo, configuração de rede, registros e informações estatísticas.

Configurar a página de administração do telefone

A página da Web de administração é ativada quando o telefone é enviado pela fábrica, e a senha é definida como Cisco. Mas, se um telefone for registrado no Cisco Unified Communications Manager, será preciso ativar a página da Web de administração e configurar uma nova senha.

Ative essa página da Web e defina as credenciais de acesso antes de usar a página da Web pela primeira vez depois que o telefone for registrado.

Uma vez ativada, a página da Web de administração estará acessível na porta HTTPS 8443 (https://x.x.x.x:8443, onde x.x.x.x é o endereço IP do telefone).

Antes de Iniciar

Defina uma senha antes de ativar a página da Web de administração. A senha pode ser formada por qualquer combinação de letras ou números, mas deve conter entre 8 e 127 caracteres.

Seu nome de usuário é permanentemente definido como admin.

Procedimento

Etapa 1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone.

Etapa 2

Localize seu telefone.

Etapa 3

Na seção Layout da configuração específica do produto, defina Administrador Web como Ativado.

Etapa 4

No campo Senha do administrador, insira uma senha.

Etapa 5

Selecione Salvar e clique em OK.

Etapa 6

Selecione Aplicar config. e clique em OK.

Etapa 7

Reinicie o telefone.
Acessar a página da Web de administração do telefone

Quando você quiser acessar as páginas da Web de administração, terá de especificar a porta de administração.

Procedimento

Etapa 1

Obtenha o endereço IP do telefone:

  • Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone e localize o telefone. Os telefones registrados no Cisco Unified Communications Manager exibem o endereço IP na janela Localizar e listar telefones e na parte superior da janela Configuração do telefone.
  • No telefone, pressione Aplicativos , escolha Informações do telefone e, em seguida, role até o campo Endereço IPv4.

Etapa 2

Abra um navegador da Web e insira o seguinte URL, onde endereço_IP é o endereço IP do Telefone IP Cisco:

https://<IP_address>:8443

Etapa 3

Digite a senha no campo Senha.

Etapa 4

Clique em Enviar.

Instalar um certificado de usuário na página da Web de administração do telefone

Você pode instalar manualmente um certificado de usuário no telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

O Certificado instalado pelo fabricante (MIC) pré-instalado pode ser usado como o certificado do usuário para EAP-TLS.

Depois de instalar o certificado do usuário, você precisa adicioná-lo à lista de confiança do servidor RADIUS.

Antes de Iniciar
Para poder instalar um certificado de usuário para um telefone, você precisa ter:

  • Um certificado de usuário salvo em seu PC. O certificado deve estar no formato PKCS #12.

  • A senha de extração do certificado.

Procedimento

Etapa 1

Na página da Web de administração do telefone, selecione Certificados.

Etapa 2

Localize o campo Instalado pelo usuário e clique em Instalar.

Etapa 3

Navegue até o certificado em seu PC.

Etapa 4

No campo Extrair senha, insira a senha de extração do certificado.

Etapa 5

Clique em Carregar.

Etapa 6

Reinicie o telefone depois que o upload terminar.
Instalar um certificado de autenticação de servidor usando a página da Web de administração do telefone

Você pode instalar manualmente um certificado de servidor de autenticação no telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

O certificado raiz de CA que emitiu o certificado de servidor RADIUS deve estar instalado para o EAP-TLS.

Antes de Iniciar

Antes de instalar um certificado em um telefone, você deve ter um certificado de servidor de autenticação salvo no PC. O certificado deve ser codificado no PEM (Base 64) ou DER.

Procedimento

Etapa 1

Na página da Web de administração do telefone, selecione Certificados.

Etapa 2

Localize o campo CA (página da Web de administração) do servidor de autenticação e clique em Instalar.

Etapa 3

Navegue até o certificado em seu PC.

Etapa 4

Clique em Carregar.

Etapa 5

Reinicie o telefone depois que o upload terminar.

Se estiver instalando mais de um certificado, instale todos os certificados antes de reiniciar o telefone.
Remover manualmente um certificado de segurança da página da Web de administração do telefone

Você pode remover manualmente um certificado de segurança de um telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

Procedimento

Etapa 1

Na página da Web de administração do telefone, selecione Certificados.

Etapa 2

Localize o certificado na página Certificados.

Etapa 3

Clique em Excluir.

Etapa 4

Reinicie o telefone depois que o processo de exclusão for concluído.
Definir manualmente a data e a hora do telefone

Com a autenticação baseada em certificados, o telefone deve exibir a data e a hora corretas. Um servidor de autenticação verifica a data e a hora do telefone em relação à data de expiração do certificado. Se as datas e horas do telefone e do servidor não coincidirem, o telefone deixará de funcionar.

Use este procedimento para definir manualmente a data e a hora do telefone se ele não estiver recebendo as informações corretas de sua rede.

Procedimento

Etapa 1

Na página da Web de administração do telefone, role até Data e hora.

Etapa 2

Realize uma das seguintes opções:

  • Clique em Definir telefone para Data e hora local para sincronizar o telefone com um servidor local.
  • Nos campos Data e hora específica, selecione mês, dia, ano, hora, minuto e segundo usando os menus e clique em Definir telefone para data e hora específica.

Configuração do SCEP

O protocolo SCEP (Simple Certificate Enrollment Protocol) é o padrão para fornecimento e renovação automática de certificados. Evite a instalação manual de certificados em seus telefones.

Definir os parâmetros de configuração específicos do produto SCEP

Você deve configurar os seguintes parâmetros do SCEP na página da Web do telefone

  • Endereço IP do RA

  • Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP

A Autoridade de registro (RA) do Cisco IOS atua como um proxy para o servidor SCEP. O cliente SCEP no telefone usa os parâmetros que são baixados do Cisco Unified Communication Manager. Depois que você configura os parâmetros, o telefone envia uma solicitação SCEP getcs para o RA, e o certificado raiz da CA é validado usando a impressão digital definida.

Procedimento

Etapa 1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone.

Etapa 2

Localize o telefone.

Etapa 3

Role até a área Layout da configuração específica do produto.

Etapa 4

Marque a caixa de seleção Servidor WLAN SCEP para ativar o parâmetro SCEP.

Etapa 5

Marque a caixa de seleção Impr. digital CA de raiz WLAN (SHA256 ou SHA1) para ativar o parâmetro QED SCEP.

Suporte ao servidor SCEP (Simple Certificate Enrollment Protocol)

Se você estiver usando um servidor SCEP (Simple Certificate Enrollment Protocol), o servidor poderá manter automaticamente seus certificados de usuário e de servidor. No servidor SCEP, configure o agente de registro (RA) SCEP para:

  • Agir como um ponto de confiança PKI

  • Agir como um RA PKI

  • Executar a autenticação de dispositivos usando um servidor RADIUS

Para obter mais informações, consulte a documentação do servidor SCEP.

Autenticação 802.1X

Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.

Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. No caso de desconexão do PC localmente conectado do telefone IP, o switch da LAN não vê a falha do link físico, pois o link entre o switch da LAN e o telefone IP é mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.

O suporte à autenticação 802.1X exige vários componentes:

  • Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

  • Cisco Secure Access Control Server (ACS) (ou outro servidor de autenticação de terceiros): o servidor de autenticação e o telefone devem ser ambos configurados com um segredo compartilhado que autentique o telefone.

  • Switch do Cisco Catalyst (ou outro switch de terceiros): o switch deve ser compatível com 802.1X para que possa atuar como o autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Você deve executar as ações a seguir para configurar a 802.1X.

  • Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.

  • Configure a porta do PC: o padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches (incluindo switches do Cisco Catalyst) aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.

    • Ativado: se estiver usando um switch que aceita a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado. Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desativado: se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.

  • Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
    • Ativado: se estiver usando um switch que aceita a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.
    • Desativado: se o switch não aceitar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.

Acessar a autenticação 802.1X

Você pode acessar as configurações de autenticação 802.1X seguindo estas etapas:

Procedimento

Etapa 1

Pressione Aplicativos.

Etapa 2

Escolha Definições do admin. > Configuração de segurança > Autenticação 802.1X.

Etapa 3

Configure as opções conforme descrito em Opções de autenticação 802.1X.

Etapa 4

Para sair desse menu, pressione Sair.

Opções de autenticação 802.1X

A tabela a seguir descreve as opções de autenticação 802.1X.

Tabela 6. Configurações de autenticação 802.1X

Opção

Descrição

Para alterar

Autentic. de disp.

Determina se a autenticação 802.1X está ativada:

  • Ativado: o telefone usa autenticação 802.1X para a solicitação de acesso à rede.
  • Desativado: configuração padrão. O telefone usa CDP para adquirir acesso à VLAN e à rede.

Consulte Definir o campo Autenticação do dispositivo.

Estado da transação

Estado: exibe o estado da autenticação 802.1x:

  • Desconectado: indica que a autenticação 802.1x não está configurada no telefone.

  • Autenticado: indica que o telefone está autenticado.

  • Em espera: indica que o processo de autenticação está em andamento.

Protocolo: exibe o método EAP que é usado para a autenticação 802.1x (pode ser EAP-FAST ou EAP-TLS).

Somente para exibição. Não é possível configurar.

Definir o campo Autenticação do dispositivo

Procedimento

Etapa 1

Pressione Aplicativos.

Etapa 2

Escolha Definições do admin. > Configuração de segurança > Autenticação 802.1X

Etapa 3

Defina a opção Autenticação do dispositivo:

  • Sim
  • Não

Etapa 4

Pressione Aplicar.