Уже есть учетная запись?

  •   Персонализированная информация
  •   Ваши продукты и поддержка

Нужна учетная запись?

Создать учетную запись

Руководство администратора телефона Cisco IP серии 8800 для Cisco Unified Communications Manager

Book Contents
Find Matches in This Book
Available Languages
Download Options

Book Title

Руководство администратора телефона Cisco IP серии 8800 для Cisco Unified Communications Manager

Chapter Title

Защита телефонов Cisco IP

Results

Updated:
24 октября 2019 г.

Chapter: Защита телефонов Cisco IP

Защита телефонов Cisco IP

Повышенная безопасность сети вашего телефона

В Cisco Unified Communications Manager 11.5(1) и 12.0(1) можно включить режим работы в среде повышенной безопасности. Благодаря этим улучшениям в вашей телефонной сети задействован ряд мер по усилению безопасности и управлению рисками, которые позволяют защитить вас и ваших пользователей.

Cisco Unified Communications Manager 12.5(1) не поддерживает среду повышенной безопасности. Отключите FIPS перед обновлением Cisco Unified Communications Manager 12.5(1). В противном случае ваш TFTP и другие службы не будут функционировать должным образом.

Среда повышенной безопасности содержит следующие компоненты:

  • Аутентификация для поиска по контактам.

  • TCP является протоколом по умолчанию для удаленной регистрации аудита.

  • Режим FIPS.

  • Улучшенная политика учетных данных.

  • Поддержка семейства хэшей SHA-2, предназначенных для цифровых подписей.

  • Поддержка ключа RSA размером 512 и 4096 бит.

Дополнительные сведения о безопасности см. здесь:


Примечание

Телефон Cisco IP может хранить только ограниченное число ITL-файлов. Размер ITL-файлов не должен превышать 64 КБ, поэтому необходимо ограничить число ITL-файлов, которое Cisco Unified Communications Manager может передать на телефон.

Поддерживаемые функции безопасности

Функции безопасности защищают от нескольких угроз, включая угрозы идентификации телефона и данных. Эти функции формируют и поддерживают аутентифицированные потоки связи между телефоном и сервером Cisco Unified Communications Manager, а также гарантируют использование на телефонах только файлов, подписанных цифровой подписью.

Cisco Unified Communications Manager выпуска 8.5(1) и выше предоставляет защиту по умолчанию, что позволяет использовать на телефонах Cisco IP следующие функции без необходимости в запуске клиента CTL:

  • подпись файлов конфигурации телефона;

  • шифрование файлов конфигурации телефона;

  • HTTPS с Tomcat и другими веб-службами.


Примечание

Функции защищенных сигналов и мультимедиа по-прежнему требуют запуска клиента CTL и использования аппаратных маркеров eToken.

Функции безопасности в системе Cisco Unified Communications Manager предотвращают кражу удостоверений телефона и сервера Cisco Unified Communications Manager, умышленное искажение данных и сигналов вызова, а также взлом медиапотока.

Для устранения этих угроз сеть IP-телефонии Cisco устанавливает и поддерживает потоки защищенной (зашифрованной) связи между телефоном и сервером, добавляет к файлам цифровую подпись, прежде чем они передаются на телефон, и шифрует медиапотоки и сигналы вызовов между телефонами Cisco IP.

Локально значимый сертификат (LSC) устанавливается на телефонах после выполнения необходимых задач, связанных с функцией прокси-сервера сертификационного центра (CAPF). Cisco Unified Communications Manager Administration можно использовать для настройки LSC, как описано в руководстве по безопасности Cisco Unified Communications Manager. Кроме того, можно инициировать установку локально значимого сертификата из меню «Настройка безопасности» на телефоне. Это меню также позволяет обновлять или удалять локально значимый сертификат.

LSC не может использоваться в качестве сертификата пользователя для EAP-TLS с аутентификацией WLAN.

Телефоны используют профиль защиты телефона, который определяет, является ли устройство защищенным или незащищенным. Сведения о применении профиля безопасности к телефону см. в документации по конкретному выпуску Cisco Unified Communications Manager.

Если вы настроили параметры, связанные с безопасностью в Cisco Unified Communications Manager Administration, файл конфигурации телефона может содержать конфиденциальную информацию. В целях обеспечения конфиденциальности файла конфигурации необходимо настроить для него шифрование. Подробные сведения см. в документации по конкретному выпуску Cisco Unified Communications Manager.

Телефоны Cisco IP серии Cisco 8800 соответствуют стандарту FIPS. Для правильного функционирования режима FIPS требуется ключ размером не менее 2048 бит. Если размер сертификата меньше 2048 бит, телефон не будет зарегистрирован в Cisco Unified Communications Manager, и появится надпись Телефону не удалось зарегистрироваться. На телефоне отображается надпись Размер ключа сертификата несовместим со стандартом FIPS.

Если телефон содержит сертификат LSC, необходимо обновить размер ключа LSC до 2048 бит и выше, прежде чем включать FIPS.

В следующей таблице приведен обзор функций безопасности, поддерживаемых телефонами. Дополнительные сведения см. в документации по конкретному выпуску Cisco Unified Communications Manager.

Для просмотра текущих параметров безопасности на телефоне, включая режим обеспечения безопасности, список доверия и аутентификацию 802.1X, нажмите Приложения и выберите Настройки администратора > Настройка безопасности.

Табл. 1. Обзор функций безопасности

Функция

Описание

Аутентификация образов

Подписанные двоичные файлы (с расширением .sbn) препятствуют взлому образа микропрограммы до его загрузки на телефон.

Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.

Шифрование образа

Зашифрованные двоичные файлы (с расширением .sebn) препятствуют взлому образа микропрограммы до его загрузки на телефон.

Взлом образа приводит к сбою процесса аутентификации и отклонению нового образа.

Установка сертификата сайта клиента

Каждый телефон Cisco IP нуждается в уникальном сертификате для аутентификации устройства. Телефоны содержат установленный на производстве сертификат (MIC), но для дополнительной безопасности можно указать установку сертификата в средстве администрирования Cisco Unified Communications Manager Administration с помощью прокси-сервера сертификационного центра (CAPF). Кроме того, можно установить локально значимый сертификат (LSC) с помощью меню конфигурации безопасности на телефоне.

Аутентификация устройства

Возникает между сервером Cisco Unified Communications Manager и телефоном, если каждый объект принимает сертификат другого объекта. Определяет, должно ли устанавливаться защищенное подключение между телефоном и Cisco Unified Communications Manager, и, если необходимо, создается защищенный путь для сигналов между объектами с использованием протокола TLS. Cisco Unified Communications Manager не регистрирует телефоны, если не может выполнить их аутентификацию.

Аутентификация файлов

Проверяет файлы с цифровой подписью, которые загружаются телефоном. Телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во Flash-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Шифрование файлов

Шифрование предотвращает кражу конфиденциальных данных при передаче файлов на телефон. Кроме того, телефон проверяет подпись, чтобы удостовериться, что файл не был взломан после создания. Файлы, которые не проходят аутентификацию, не записываются во Flash-память на телефоне. Телефон отклоняет эти файлы без дальнейшей обработки.

Аутентификация сигналов

Используется протокол TLS для проверки отсутствия взлома сигнальных пакетов во время передачи.

Сертификат, установленный на производстве

Каждый телефон Cisco IP содержит уникальный установленный на производстве сертификат (MIC), которые используется для аутентификации устройства. Сертификат MIC обеспечивает постоянную уникальную идентификацию телефона, которая позволяет Cisco Unified Communications Manager аутентифицировать его.

Шифрование медиа

SRTP используется для обеспечения безопасности медиапотоков между поддерживаемыми устройствами, чтобы только нужное устройство получало и считывало данные. Включает создание пары мастер-ключей мультимедиа для устройств, доставку ключей на устройства и обеспечение безопасности доставки ключей во время их передачи.

CAPF (прокси-сервер сертификационного центра)

Реализация частей процедуры создания сертификатов, которые очень требовательны к обработке на телефоне, а также взаимодействие с телефоном для создания ключей и установки сертификата. Прокси-сервер CAPF можно настроить для запроса сертификатов указанных пользователем центров сертификации от имени телефона или локальной генерации сертификатов.

Профиль безопасности

Определяет, является ли телефон незащищенным, прошедшим аутентификацию, зашифрованным или защищенным. Другие записи в этой таблице описывают функции безопасности.

Шифрованные файлы конфигурации

Позволяет обеспечить конфиденциальность файлов конфигурации телефона.

Необязательное отключение веб-сервера для телефона

В целях безопасности можно запретить доступ к веб-страницам для телефона (на которых отображается различная операционная статистика телефона) и на портал самообслуживания.

Усиление защиты телефона

Дополнительные параметры безопасности, которыми можно управлять из средства администрирования Cisco Unified Communications Manager Administration:

  • Отключение порта ПК
  • Отключение самообращенных ARP (GARP)
  • Отключение доступа к голосовой VLAN с ПК
  • Отключение доступа к меню настроек либо предоставление ограниченного доступа (разрешены только доступ к меню предпочтений и сохранение изменений громкости)
  • Отключение доступа к веб-страницам с телефона
  • Отключение порта устройства Bluetooth

  • Ограничение шифров TLS

Аутентификация 802.1X

Телефон Cisco IP может использовать аутентификацию 802.1X для запроса и получения доступа к сети. Дополнительные сведения см. в разделе Аутентификация 802.1X.

Защищенная обработка отказа SIP для SRST

После настройки ссылки на SRST (система повышения выживаемости телефонии для вынесенного узла) для защиты и сброса зависимых устройств в средстве администрирования Cisco Unified Communications Manager Administration TFTP-сервер добавляет сертификат SRST в файл cnf.xml и отправляет этот файл на телефон. Затем защищенный телефон использует подключение TLS для взаимодействия с маршрутизатором, поддерживающим SRST.

Шифрование сигнального соединения

Обеспечивает шифрование всех сигнальных сообщений SIP, которые отправляются между устройством и сервером Cisco Unified Communications Manager.

Оповещение об обновлении списка доверия

При обновлении списка доверия на телефоне Cisco Unified Communications Manager получает оповещение, содержащее сведения об успешности или сбое обновления. Дополнительные сведения см. в следующей таблице.

Шифрование AES 256

При подключении к Cisco Unified Communications Manager выпуска 10.5(2) и выше телефоны поддерживают шифрование AES 256 для TLS и SIP в целях шифрования сигналов и мультимедиа. Это позволяет телефонам инициировать и поддерживать подключения TLS 1.2 с помощью шифров на основе AES-256, которые соответствуют стандартам SHA-2 и FIPS. Шифры включают в себя:

  • для подключений TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
  • для sRTP:
    • AEAD_AES_256_GCM;
    • AEAD_AES_128_GCM.

Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Сертификаты алгоритма цифровых подписей на основе эллиптических кривых (Elliptic Curve Digital Signature Algorithm, ECDSA)

В рамках сертификации Common Criteria (CC) в Cisco Unified Communications Manager добавлены сертификаты ECDSA в версии 11.0. Это относится ко всем изделиям Voice Operating System (VOS) начиная с версии CUCM 11.5.

В следующей таблице приведены оповещения об обновлении списка доверия и их значение. Дополнительные сведения см. в документации по Cisco Unified Communications Manager.

Табл. 2. Оповещения об обновлении списка доверия
Код и сообщение Описание

1 - TL_SUCCESS

Получен новый CTL и (или) ITL

2 - CTL_INITIAL_SUCCESS

Получен новый CTL, TL не существует

3 - ITL_INITIAL_SUCCESS

Получен новый ITL, TL не существует

4 - TL_INITIAL_SUCCESS

Получены новые CTL и ITL, TL не существует

5 - TL_FAILED_OLD_CTL

Сбой обновления нового CTL, но существует предыдущий TL

6 - TL_FAILED_NO_TL

Сбой обновления нового TL, старый TL не существует

7 - TL_FAILED

Общая ошибка

8 - TL_FAILED_OLD_ITL

Сбой обновления нового ITL, но существует предыдущий TL

9 - TL_FAILED_OLD_TL

Сбой обновления нового TL, но существует предыдущий TL

Меню «Настройка безопасности» содержит сведения о различных параметрах безопасности. Это меню также обеспечивает доступ к меню «Список доверия» и указывает, установлен ли на телефоне файл CTL или ITL.

В следующей таблице описаны параметры меню настроек безопасности.

Табл. 3. Меню настроек безопасности

Параметр

Описание

Желаемое изменение

Режим безопасн

Служит для отображения режима безопасности, настроенного на телефоне.

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон. Параметр отображается в разделе информации о протоколе в окне конфигурации телефона.

LSC

Указывает, установлен ли на телефоне локально значимый сертификат (используется для функций безопасности). Значение: «Да» или «Нет».

Сведения об управлении локально значимым сертификатом телефона см. в документации по конкретному выпуску Cisco Unified Communications Manager.

Список доверия

Список доверия содержит вложенные меню для файлов CTL, ITL и подписанных файлов конфигурации.

Во вложенном меню «Файл CTL» отображается содержимое файла CTL. Во вложенном меню «Файл ITL» отображается содержимое файла ITL.

Кроме того, в меню «Список доверия» содержится следующая информация.

  • Подпись CTL: хэш SHA1 для файла CTL

  • Сервер Unified CM/TFTP: имя Cisco Unified Communications Manager и TFTP-сервера, используемое телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.

  • Сервер CAPF: имя сервера CAPF, используемое телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.

  • Маршрутизатор SRST: IP-адрес доверенного маршрутизатора SRST, который может использоваться телефоном. Если для этого сервера установлен сертификат, отображается значок сертификата.

Дополнительные сведения см. в разделе Настройка локально значимого сертификата.

Аутентификация 802.1X

Позволяет включать аутентификацию 802.1X на телефоне.

См. Аутентификация 802.1X.

Настройка локально значимого сертификата

Эта задача относится к настройке LSC с помощью метода строки аутентификации.

Подготовка

Убедитесь, что выполнены подходящие конфигурации безопасности Cisco Unified Communications Manager и функции прокси-сервера сертификационного центра (CAPF):

  • Файл CTL или ITL содержит сертификат CAPF.

  • В средстве администрирования Cisco Unified Communications Operating System Administration убедитесь, что установлен сертификат CAPF.

  • Прокси-сервер CAPF запущен и настроен.

Для получения дополнительной информации об этих параметрах см. документацию по конкретному выпуску Cisco Unified Communications Manager.

Процедура

Шаг 1

Получите код аутентификации CAPF, который был задан при настройке прокси-сервера CAPF.

Шаг 2

Нажмите Приложения на телефоне.

Шаг 3

Нажмите Настройки администратора > Настройка безопасности.

Примечание 

С помощью поля «Доступ к параметрам» окна «Конфигурация телефона» в средстве администрирования Cisco Unified Communications Manager Administration можно управлять доступом к меню «Параметры».

Шаг 4

Выберите LSC и нажмите Выбрать или Обновить.

Телефон запросит строку аутентификации.

Шаг 5

Введите код аутентификации и нажмите Отправить.

Телефон начнет устанавливать, обновлять или удалять LSC в зависимости от того, как настроен прокси-сервер CAPF. Во время этой процедуры в поле параметра LSC меню «Конфигурация безопасности» отображается ряд сообщений, так что вы можете отслеживать процесс. По завершении процедуры на телефоне отображается надпись «Установлено» или же «Не установлено».

Процесс установки, обновления или удаления LSC может занять длительное время.

Если процедура установки телефона успешно выполнена, отображается сообщение Установлено. Если на телефоне отображается Не установлено, строка авторизации может быть задана неверно или обновление телефона может быть выключено. Если операция прокси-сервера CAPF удаляет LSC, на телефоне отображается Не установлено, что указывает на успешное выполнение операции. Прокси-сервер CAPF регистрирует сообщения об ошибках. Изучите документацию по прокси-серверу CAPF, чтобы найти журналы и получить общее представление о значении сообщений об ошибках.

Включение режима FIPS

Процедура

Шаг 1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон и найдите нужный телефон.

Шаг 2

Перейдите в область «Конфигурация отдельного продукта».
Шаг 3

Задайте для параметра Режим FIPS значение «Включено».

Шаг 4

Выберите Применить конфигурацию.

Шаг 5

Выберите Сохранить.

Шаг 6

Перезагрузите телефон.

Безопасность телефонных вызовов

Если телефон защищен, можно определить защищенные телефонные вызовы по значкам на экране телефона. Также можно определить, является ли подключенный телефон защищенным и безопасным, если в начале вызова выдается тональный сигнал безопасности.

При защищенном вызове все сигналы вызова и медиапотоки шифруются. Защищенный вызов обеспечивает более высокий уровень безопасности, обеспечивая целостность вызова и его конфиденциальность. Если выполняемый вызов зашифрован, значок вызова справа от таймера продолжительности вызова на экране телефона меняется на следующий значок: .


Примечание

Если вызов маршрутизируется через этапы вызова, расположенные вне сетей IP, например через PSTN, вызов может быть незащищенным, даже если он зашифрован в IP-сети и помечен значком замка.

При защищенном вызове тональный сигнал безопасности выдается в начале вызова. Это означает, что подключенный телефон также передает и принимает защищенные аудиоданные. Если ваш вызов подключается к незащищенному телефону, тональный сигнал безопасности не воспроизводится.


Примечание

Поддержка защищенных вызовов возможна только для подключений между двумя телефонами. Некоторые функциональные возможности, такие как конференц-связь и общие линии, недоступны при настройке защищенных вызовов.

Если телефон настроен как защищенный (доверенный с шифрованием) в Cisco Unified Communications Manager, он может получить статус "защищенного". При необходимости после этого защищенный телефон можно настроить для выдачи тонального сигнала индикации в начале вызова:

  • Защищенное устройство: чтобы изменить статус телефона на «защищенный», установите флажок «Защищенное устройство» в окне «Конфигурация телефона» в Cisco Unified Communications Manager Administration (Устройство > Телефон).

  • Выдача тонального сигнала индикации защищенности: чтобы включить выдачу защищенным телефоном тонального сигнала индикации защищенности или незащищенности телефона, установите для настройки «Выдавать тональный сигнал индикации защищенности» значение «True». По умолчанию для параметра «Выдавать тональный сигнал индикации защищенности» выставлено значение «False». Этот параметр следует выставить в Cisco Unified Communications Manager Administration (Система > Служебные параметры). Выберите сервер, затем службу Unified Communications Manager. В окне настройки параметров службы выберите этот параметр в области «Функция — Тональный сигнал защищенности». Значение по умолчанию — «False».

Идентификация защищенной конференц-связи

Вы можете инициировать защищенную конференц-связь и отслеживать уровень безопасности ее участников. Защищенная конференц-связь устанавливается с помощью следующего процесса.

  1. Пользователь инициирует конференцию с защищенного телефона.

  2. Cisco Unified Communications Manager назначает вызову защищенный конференц-мост.

  3. По мере добавления участников Cisco Unified Communications Manager проверяет режим безопасности каждого телефона и поддерживает уровень безопасности всей конференции.

  4. На экране телефона отображается уровень безопасности конференц-связи. Если конференция защищена, на экране телефона справа от пункта Конференция отображается значок .


Примечание

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

В следующей таблице приведены сведения об изменениях уровней безопасности конференций в зависимости от уровня безопасности телефона инициатора, уровней безопасности участников и доступности защищенных конференц-мостов.

Табл. 4. Ограничения безопасности при конференц-вызовах

Уровень защиты телефона инициатора

Используемая функция

Уровень безопасности участников

Результаты действия

Незащищенный

Конференция

Безопасный

Незащищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция

Как минимум один участник является незащищенным.

Защищенный конференц-мост

Незащищенная конференция

Безопасный

Конференция

Безопасный

Защищенный конференц-мост

Защищенная шифрованная конференция

Незащищенный

Meet Me

Минимальным уровнем защиты является шифрование.

Инициатор получает сообщение Не соответствует уровню безопасности, вызов отклонен.

Безопасный

Meet Me

Минимальным уровнем защиты является незащищенный.

Защищенный конференц-мост

Конференция принимает все вызовы.

Идентификация защищенных телефонных вызовов

Защищенный вызов устанавливается, если ваш телефон и телефон на другом конце настроены для поддержки защищенных вызовов. Другой телефон может находиться в той же IP-сети Cisco или в сети вне IP-сети. Защищенные вызовы могут устанавливаться только между двумя телефонами. Конференц-связь будет поддерживать защищенные вызовы после настройки защищенного конференц-моста.

Защищенный вызов устанавливается с помощью следующего процесса.

  1. Пользователь инициирует вызов с защищенного телефона (защищенный режим безопасности).

  2. На экране телефона отображается значок безопасности . Этот значок указывает, что телефон настроен для поддержки защищенных вызовов, однако это не означает, что другой подключенный телефон также защищен.

  3. Когда вызов доходит до другого защищенного телефона, пользователь слышит тональный сигнал безопасности, который указывает, что оба конца разговора шифруются и являются безопасными. Если вызов подключается к незащищенному телефону, пользователь не слышит тональный сигнал безопасности.


Примечание

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

Только защищенные телефоны выдают упомянутые тональные сигналы индикации наличия или отсутствия защиты. Незащищенные телефоны никогда не выдают тональные сигналы. Если общий статус вызова меняется во время вызова, сигнал индикации меняется и защищенный телефон выдает соответствующий тональный сигнал.

Защищенный телефон выдает или не выдает тональный сигнал в следующих случаях:

  • Если включен параметр «Выдавать тональный сигнал индикации защищенности»:

    • Если установлена сквозная среда защищенной передачи и статус вызова — защищенный, то телефон выдает тональный сигнал индикации защищенности (три длинных гудка с паузами).

    • Если установлена сквозная среда незащищенной передачи и статус вызова — незащищенный, то телефон выдает тональный сигнал индикации отсутствия защищенности (шесть коротких гудков с короткими паузами).

Если опция выдачи тонального сигнала индикации защищенности деактивирована, тональные сигналы не выдаются.


Примечание

Поддержка защищенных вызовов возможна между двумя телефонами. Если на телефонах настроены защищенные вызовы, некоторые функции, такие как конференц-связь, общие линии и Extension Mobility, становятся недоступными.

Обеспечение шифрования для вмешательства

Cisco Unified Communications Manager проверяет состояние безопасности телефона при установлении конференц-связи и изменяет индикацию безопасности для конференции или блокирует завершение вызова для поддержания целостности и безопасности в системе.

Пользователь не может выполнить вмешательство в шифрованный вызов, если телефон, который используется для вмешательства, не настроен для шифрования. При невозможности выполнить вмешательство в подобном случае на телефоне, на котором было инициировано вмешательство, слышен тональный сигнал занятой линии (частый сигнал «занято»).

Если телефон инициатора настроен для шифрования, инициатор вмешательства может вмешаться в незащищенный вызов с шифрованного телефона. После вмешательства Cisco Unified Communications Manager классифицирует вызов как незащищенный.

Если телефон инициатора настроен для шифрования, инициатор вмешательства может вмешаться в шифрованный вызов, и телефон будет показывать, что вызов зашифрован.

Безопасность WLAN

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Чтобы убедиться в том, что злоумышленники не подделывают голосовой трафик и не перехватывают его, архитектура безопасности Cisco SAFE поддерживает Cisco IP и точки доступа Cisco Aironet. Дополнительные сведения о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP-телефонии Cisco обеспечивает безопасность беспроводных сетей, предотвращая неавторизованный вход и компрометацию связи с помощью следующих методов аутентификации, поддерживаемых беспроводным телефоном Cisco IP:

  • Открытая аутентификация: любое беспроводное устройство может запросить аутентификацию в открытой системе. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа может быть незашифрованной, или устройства могут использовать ключи WEP для обеспечения безопасности. Устройства, которые используют WEP, осуществляют попытки аутентифицировать только те точки доступа, которые используют WEP.

  • Аутентификация EAP-FAST: эта клиент-серверная архитектура безопасности шифрует транзакции EAP в рамках TLS-туннеля между точкой доступа и сервером RADIUS, например сервером Cisco ACS.

    TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью главного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.


    Примечание

    В Cisco ACS по умолчанию срок действия PAC истекает через одну неделю. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ACS или RADIUS срок действия PAC не менее 90 дней.

  • Аутентификация по протоколу EAP-TLS: для проверки подлинности и предоставления доступа к сети протокол EAP-TLS требует сертификат клиента. Для аутентификации по проводному протоколу EAP-TLS в качестве сертификата клиента может выступать MIC телефона или LSC. LSC является рекомендуемым сертификатом проверки подлинности клиента для аутентификации по проводному протоколу EAP-TLS.

  • Протокол PEAP: собственная схема взаимной аутентификации Cisco на основе пароля между клиентом (телефоном) и сервером RADIUS. Cisco IP может использовать PEAP для аутентификации в беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

  • WPA/WPA2: используются сведения с сервера RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA/WPA2 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных безопасности для клиентских устройств, поддерживающих CCKM, что обеспечивает быструю и безопасную повторную аутентификацию. Cisco IP серии 8800 поддерживает 802.11r (FT). Для обеспечения быстрого безопасного роуминга поддерживаются и 11r (FT) и CCKM. Однако Cisco настоятельно рекомендует использовать беспроводную связь 802.11r (FT).

При использовании WPA/WPA2 и CCKM ключи шифрования не вводятся на телефоне, а автоматически передаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Убедитесь, что голосовой трафик защищен, Cisco IP поддерживает WEP, TKIP и AES для шифрования. Если эти механизмы используются для шифрования, и сигнальные SIP-пакеты, и голосовые пакеты RTP шифруются между точкой доступа и Cisco IP.

WEP

При использовании в беспроводной сети протокола WEP аутентификация происходит в точке доступа с использованием открытой аутентификации или аутентификации на основе предварительного ключа. Для успешного установления подключения ключ WEP, который настроен на телефоне, должен соответствовать ключу WEP, настроенному на точке доступа. Cisco IP поддерживает ключи WEP, использующие 40- или 128-битное шифрование и статически размещенные на телефоне и в точке доступа.

Аутентификация с использованием EAP и CCKM может задействовать для шифрования ключи WEP. Сервер RADIUS управляет ключом WEP и передает уникальный ключ в точку доступа после аутентификации для шифрования всех голосовых пакетов; после этого ключи WEP могут меняться при каждой аутентификации.

TKIP

WPA и CCKM используют шифрование TKIP, которое обладает некоторыми преимуществами по сравнению с WEP. TKIP обеспечивает шифрование ключом каждого пакета и более длительные векторы инициализации, что делает шифрование более надежным. Кроме того, проверка целостности сообщения (MIC) обеспечивает невозможность изменения зашифрованных пакетов. TKIP устраняет предсказуемость WEP, благодаря которой злоумышленники могут расшифровать ключ WEP.

AES

Метод шифрования, используемый для аутентификации WPA2. Этот национальный стандарт шифрования использует симметричный алгоритм, который задействует один и тот же ключ для шифрования и расшифровки. AES использует шифрование CBC размером 128 бит, которое, как минимум, поддерживает размеры ключей 128, 192 и 256 бит. Телефон Cisco IP поддерживает размер ключа 256 бит.


Примечание

Телефон Cisco IP не поддерживает протокол CKIP со CMIC.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства успешно аутентифицировались, необходимо настроить SSID с одинаковыми схемами аутентификации и шифрования в точках доступа и Cisco IP.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования. При открытой аутентификации можно использовать статический WEP для шифрования, что повышает уровень безопасности. Однако, если используется аутентификация на основе предварительного ключа, необходимо задать статический WEP для шифрования и настроить ключ WEP на телефоне.


Примечание
  • При использовании предварительного ключа WPA или WPA2 предварительный ключ должен быть статически задан на телефоне. Эти ключи должны соответствовать ключам в точке доступа.

  • Телефон Cisco IP не поддерживает автоматическое согласование EAP; для использования режима EAP-FAST необходимо его указать.

В следующей таблице приведен список схем аутентификации и шифрования, которые настраиваются в точках доступа Cisco Aironet и поддерживаются телефоном Cisco IP. В таблице приведен параметр сетевой конфигурации для телефона, который соответствует конфигурации точки доступа.

Табл. 5. Схемы аутентификации и шифрования

Конфигурация Cisco IP

Конфигурация точки доступа

Режим безопасн

Безопасность

Центр управления

Шифрование

Быстрый роуминг

Нет

Нет

Нет

Нет

Нет данных

WEP

Статический WEP

Статический

WEP

Нет данных

PSK

PSK

WPA

TKIP

Нет

WPA2

AES

FT

EAP-FAST

EAP-FAST

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

EAP-TLS

EAP-TLS

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-MSCHAPV2

PEAP-MSCHAPV2

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

PEAP-GTC

PEAP-GTC

802.1x

WEP

CCKM

WPA

TKIP

CCKM

WPA2

AES

FT, CCKM

Дополнительные сведения о настройке схем аутентификации и шифрования в точках доступа см. в руководстве по настройке Cisco Aironet для вашей модели и выпуска на следующей веб-странице:

http://www.cisco.com/cisco/web/psa/configure.html?mode=prod&level0=278875243

Настройка режима аутентификации

Чтобы выбрать режим аутентификации для этого профиля, выполните следующие действия.

Процедура

Шаг 1

Выберите профиль сети, который необходимо настроить.

Шаг 2

Выберите режим аутентификации.

Примечание 

В зависимости от выбранного варианта потребуется настроить дополнительные параметры в разделе «Безопасность беспроводной сети» или «Шифрование в беспроводной сети». Дополнительные сведения см. в разделе Безопасность WLAN.

Шаг 3

Нажмите Сохранить, чтобы внести изменения.

Учетные данные безопасности беспроводной сети

Если сеть использует EAP-FAST и PEAP для аутентификации пользователя, необходимо настроить имя пользователя и пароль, если таковой необходим, на сервере удаленной аутентификации пользователей с коммутируемым доступом (RADIUS) и телефоне.


Примечание

Если в сети используются домены, необходимо указать имя пользователя и имя домена в формате домен\имя_пользователя.

Следующие действия могут привести к сбросу имеющегося пароля Wi-Fi:

  • ввод недопустимого идентификатора или пароля пользователя;

  • установка недопустимого или просроченного корневого ЦС, если в качестве типа EAP задан PEAP-MSCHAPV2 или PEAP-GTC;

  • отключение типа EAP на сервере RADIUS, используемом телефоном, перед изменением типа EAP на телефоне.

Чтобы изменить типы EAP, выполните следующие действия в указанной последовательности:

  • Включите новые типы EAP на сервере RADIUS.

  • Измените тип EAP на телефоне на новый тип EAP.

Сохраняйте текущий тип EAP, настроенный на телефоне, пока новый тип EAP не будет включен на сервере RADIUS. После включения нового типа EAP на сервере RADIUS можно изменить тип EAP на телефоне. После изменения типа EAP на всех телефонах можно отключить предыдущий тип EAP, если необходимо.

Настройка имени пользователя и пароля

Чтобы ввести или изменить имя пользователя или пароль для профиля сети, необходимо использовать то же имя пользователя и ту же парольную строку, которые настроены на сервере RADIUS. Максимальная длина записи имени пользователя или пароля равна 64 символам.

Чтобы настроить имя пользователя и пароль в учетных данных безопасности беспроводной сети, выполните следующие действия.

Процедура
Шаг 1

Выберите сетевой профиль.

Шаг 2

В поле «Имя пользователя» введите имя пользователя сети для этого профиля.

Шаг 3

В поле «Пароль» введите строку сетевого пароля для этого профиля.

Шаг 4

Нажмите Сохранить, чтобы внести изменения.

Настройка предварительного ключа

Рекомендации по настройке общих ключей доступны в следующих разделах.

Форматы предварительных ключей

Телефон Cisco IP поддерживает формат ASCII и шестнадцатеричный формат. При настройке предварительного ключа WPA необходимо использовать один из следующих форматов.

Шестнадцатеричное

В случае шестнадцатеричного ключа необходимо ввести 64 символа в шестнадцатеричном формате (0–9 и A–F), например AB123456789CD01234567890EFAB123456789CD01234567890EF3456789C.

ASCII

В случае ключа в формате ASCII, необходимо ввести строку длиной от 8 до 63 знаков, в которой используются символы 0–9, A–Z (в верхнем и нижнем регистре), включая служебные символы, например GREG12356789ZXYW

Настройка PSK

Чтобы настроить PSK в области «Учетные данные беспроводной связи», выполните следующие действия.

Процедура
Шаг 1

Выберите профиль сети, который использует общий ключ WPA или WPA2.

Шаг 2

В области «Тип ключа» введите соответствующий ключ.

Шаг 3

Введите строку ASCII или шестнадцатеричные знаки в поле «Парольная фраза / предварительный ключ».

Шаг 4

Нажмите Сохранить, чтобы внести изменения.

Шифрование в беспроводной сети

Если в беспроводной сети используется шифрование WEP и задан режим аутентификации Open + WEP, необходимо ввести ключ WEP в формате ASCII или шестнадцатеричном формате.

Ключи WEP для телефона должны соответствовать ключам WEP, назначенным точке доступа. Телефон Cisco IP и точки доступа Cisco Aironet поддерживают и 40-разрядные, и 128-разрядные ключи шифрования.

Форматы ключей WEP

При настройке ключа WEP необходимо использовать один из следующих форматов.

Шестнадцатеричное

Для шестнадцатеричных ключей можно использовать один из следующих размеров:

40-разрядная

Введите ключ шифрования из 10 символов, в котором используются шестнадцатеричные цифры (0–9 и A–F). Пример: ABCD123456.

128-разрядная

Введите ключ шифрования из 26 символов, в котором используются шестнадцатеричные цифры (0–9 и A–F). Пример: AB123456789CD01234567890EF.

ASCII

В случае ключа ASCII, необходимо ввести строку, в которой можно использовать символы 0–9, A–Z (в верхнем и нижнем регистре) и все служебные символы. Можно использовать один из следующих размеров.

40-разрядная

Необходимо ввести строку из 5 символов. Пример: GREG5.

128-разрядная

Необходимо ввести строку из 13 символов. Пример: GREGSSECRET13.

Настройка ключей WEP

Чтобы настроить ключи WEP, выполните следующие действия.

Процедура
Шаг 1

Выберите профиль сети, использующий Open+WEP или Shared+WEP.

Шаг 2

В области «Тип ключа» введите соответствующий ключ.
Шаг 3

В области «Размер ключа» выберите один из следующих вариантов длины строки в символах:

  • 40

  • 128
Шаг 4

В поле «Ключ шифрования» введите строку соответствующего ключа на основе выбранного типа и размера ключа. См. Форматы ключей WEP.

Шаг 5

Нажмите Сохранить, чтобы внести изменения.

Экспорт сертификата ЦС из ACS с помощью служб сертификации Microsoft

Экспортируйте корневой сертификат ЦС из сервера ACS. Дополнительные сведения см. в документации по ЦС или RADIUS.

Установленный на производстве сертификат

Компания Cisco включает в комплект поставки телефона установленный на производстве сертификат (MIC).

Во время аутентификации EAP-TLS сервер ACS проверяет доверие к телефону, а телефон проверяет доверие к серверу ACS.

Чтобы проверить сертификат MIC, необходимо экспортировать корневой сертификат производителя и сертификат центра сертификации с телефона Cisco IP и установить его на сервер Cisco ACS. Эти два сертификата являются частью цепочки доверенных сертификатов, используемых для проверки сертификата MIC сервером Cisco ACS.

Чтобы проверить сертификат Cisco ACS, необходимо экспортировать доверенный подчиненный сертификат (если используется) и корневой сертификат (создается в ЦС) на сервер Cisco ACS, после чего экспортированные сертификаты устанавливаются на телефоне. Эти сертификаты являются частью цепочки доверенных сертификатов, которая используется для проверки доверия к сертификату на сервере ACS.

Установленный пользователем сертификат

Для использования установленного пользователем сертификата создается запрос на подпись сертификата (CSR), который затем отправляется в ЦС для утверждения. Сертификат пользователя также может быть создан центром сертификации без CSR.

Во время аутентификации EAP-TLS сервер ACS проверяет доверие к телефону, а телефон проверяет доверие к серверу ACS.

Для проверки подлинности установленного пользователем сертификата необходимо установить доверенный подчиненный сертификат (если таковой имеется) и корневой сертификат из ЦС, утвердившего пользовательский сертификат на сервере ACS Cisco. Эти сертификаты являются частью цепочки доверенных сертификатов, которая используется для проверки доверия к установленному пользователем сертификату.

Чтобы проверить сертификат ACS Cisco, необходимо экспортировать доверенный подчиненный сертификат (если таковой имеется) и корневой сертификат (созданный в ЦС) на сервер ACS Cisco, после чего экспортированные сертификаты устанавливаются на телефоне. Эти сертификаты являются частью цепочки доверенных сертификатов, которая используется для проверки доверия к сертификату на сервере ACS.

Установка сертификатов аутентификации EAP-TLS

Чтобы установить сертификаты аутентификации для EAP-TLS, выполните следующие действия.

Процедура
Шаг 1

На веб-странице телефона настройте для телефона дату и время Cisco Unified Communications Manager.

Шаг 2

При использовании установленного на производстве сертификата (MIC):

  1. На веб-странице телефона экспортируйте корневой сертификат ЦС и сертификат ЦС производителя.

  2. В Internet Explorer установите сертификаты на сервер Cisco ACS и измените список доверия.

  3. Импортируйте корневой сертификат центра сертификации на телефон.

    Дополнительные сведения см. в разделах:

Шаг 3

С помощью инструмента конфигурации ACS настройте учетную запись пользователя.

Дополнительные сведения см. в разделах:

Установка даты и времени

EAP-TLS использует аутентификацию на основе сертификата, для которой требуется правильная установка внутренних часов Cisco IP. Дата и время на телефоне могут меняться при регистрации в Cisco Unified Communications Manager.


Примечание

Если запрашивается новый сертификат аутентификации на сервере, а локальное время отстает от среднего времени по Гринвичу (GMT), проверка сертификата аутентификации может завершиться с ошибкой. Cisco рекомендует устанавливать местные дату и время с опережением среднего времени по Гринвичу.

Чтобы установить правильные местные дату и время на телефоне, выполните следующие действия.

Процедура
Шаг 1

Выберите Дата и время на левой панели навигации.

Шаг 2

Если значение в поле «Текущая дата/время телефона» отличается от значения в поле «Местная дата/время», щелкните Настроить телефон на местную дату/время.

Шаг 3

Щелкните Перезапуск телефона, затем нажмите OK.

Экспорт и установка сертификатов в ACS

Чтобы использовать MIC, экспортируйте корневой сертификат производителя и сертификат ЦС производителя и установите его на сервере Cisco ACS.

Чтобы экспортировать корневой сертификат производителя и сертификат ЦС производителя на сервер ACS, выполните следующие действия.

Процедура
Шаг 1

На веб-странице телефона выберите Сертификаты.

Шаг 2

Щелкните Экспорт рядом с корневым сертификатом производителя.

Шаг 3

Сохраните сертификат и скопируйте его на сервер ACS.

Шаг 4

Повторите шаги 1 и 2 для сертификата ЦС производителя.

Шаг 5

На странице конфигурации системы сервера ACS введите путь к файлу для каждого сертификата и установите сертификаты.

Примечание 

Дополнительные сведения об использовании инструмента конфигурации ACS см. в интерактивной справке по ACS или в руководстве пользователя по Cisco Secure ACS для Windows(http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-user-guide-list.html).

Шаг 6

Используйте страницу редактирования списка доверенных сертификатов (CTL) для добавления сертификатов, которым доверяет ACS.

Методы экспорта сертификатов ACS

В зависимости от типа сертификата, который вы экспортируете из ACS, используйте один из следующих методов:

Экспорт сертификата ЦС из ISE с помощью служб сертификации Microsoft

Используйте этот метод, чтобы экспортировать сертификат ЦС с сервера ISE, подписавшего установленный пользователем сертификат или сертификат ISE.

Чтобы экспортировать сертификат ЦС с помощью веб-страницы служб сертификации Microsoft, выполните следующие действия.

Процедура
Шаг 1

На веб-странице служб сертификации Microsoft выберите Загрузка сертификата ЦС, цепочки сертификатов или CRL.

Шаг 2

На следующей странице, укажите в текстовом поле текущий сертификат ЦС, выберите DER в качестве метода шифрования, а затем щелкните Загрузка сертификата ЦС.

Шаг 3

Сохраните сертификат ЦС.

Экспорт сертификатов CA из ACS с помощью Internet Explorer

Этот метод используется для экспорта сертификата CA с сервера ACS, который использует самоподписанный сертификат.

Для экспорта сертификатов с сервера ACS с помощью Internet Explorer выполните следующие действия.

Процедура
Шаг 1

В Internet Explorer выберите Сервис > Свойства браузера, а затем щелкните вкладку «Содержимое».

Шаг 2

В разделе «Сертификаты» щелкните Сертификаты, а затем выберите вкладку «Доверенные корневые центры сертификации».

Шаг 3

Выделите корневой сертификат и щелкните Экспортировать. Откроется мастер экспорта сертификатов.

Шаг 4

Нажмите Далее.

Шаг 5

В следующем окне выберите Файлы X.509 (.CER) в кодировке DER и нажмите Далее.

Шаг 6

Укажите имя сертификата и нажмите Далее.

Шаг 7

Сохраните сертификат CA для установки на телефоне.

Запрос и импорт установленного пользователем сертификата

Чтобы запросить и установить сертификат на телефоне, выполните следующие действия.

Процедура
Шаг 1

На веб-странице телефона выберите сетевой профиль с помощью EAP-TLS, затем выберите Установлен пользователем в поле «Сертификат EAP-TLS».

Шаг 2

Щелкните Сертификаты.

На странице установки пользовательского сертификата поле «Общее имя» должно соответствовать имени пользователя на сервере ACS.

Примечание 

При желании можно изменить поле «Общее имя». Убедитесь, что значение в нем соответствует имени пользователя на сервере ACS. См. Настройка учетной записи пользователя ACS и установка сертификата.

Шаг 3

Введите информацию, которая будет отображаться на сертификате, затем щелкните Отправить, чтобы создать запрос на подпись сертификата (CSR).

Установка корневого сертификата сервера аутентификации

Чтобы установить корневой сертификат сервера аутентификации на телефоне, выполните следующие действия.

Процедура
Шаг 1

Экспортируйте корневой сертификат сервера аутентификации из ACS. См. Методы экспорта сертификатов ACS.

Шаг 2

Перейдите на веб-страницу телефона и выберите Сертификаты.

Шаг 3

Щелкните Импорт рядом с корневым сертификатом сервера аутентификации.

Шаг 4

Перезагрузите телефон.

Настройка учетной записи пользователя ACS и установка сертификата

Чтобы настроить имя учетной записи пользователя и установить корневой сертификат MIC для телефона на ACS, выполните следующие действия.


Примечание

Дополнительные сведения об использовании инструмента конфигурации ACS см. в интерактивной справке по ACS или в Руководстве пользователя по Cisco Secure ACS для Windows.

Процедура
Шаг 1

В средстве конфигурации ACS на странице настройки пользователя создайте имя учетной записи пользователя телефона, если она еще не настроена.

Как правило, в конце имени пользователя содержится MAC-адрес телефона. Для EAP-TLS не требуется пароль.

Примечание 

Убедитесь, что имя пользователя соответствует полю «Общее имя» на странице установки сертификата пользователя. См. Запрос и импорт установленного пользователем сертификата.

Шаг 2

На странице конфигурации системы в разделе EAP-TLS включите следующие поля:

  • Разрешить EAP-TLS

  • Сравнение CN сертификата
Шаг 3

На странице настройки центра сертификации ACS добавьте корневой сертификат производителя и сертификат ЦС производителя на сервер ACS.

Шаг 4

Включите корневой сертификат производителя и сертификат ЦС производителя в список доверенных сертификатов ACS.

Настройка PEAP

Протокол PEAP использует сертификаты открытых ключей на стороне сервера для аутентификации клиентов, создавая зашифрованный канал SSL/TLS между клиентом и сервером аутентификации.

Телефон Cisco IP 8865 поддерживает только один сертификат сервера, который может быть установлен с использованием SCEP или вручную, но не обоими способами. Телефон не поддерживает метод установки сертификатов с использованием TFTP.


Примечание

Можно включить проверку сервера аутентификации путем импорта сертификата сервера аутентификации.
Перед началом работы

Перед настройкой аутентификации PEAP на телефоне убедитесь, что выполняются следующие требования Cisco Secure ACS:

  • Должен быть установлен корневой сертификат ACS.

  • Можно также установить сертификат для проверки подлинности сервера для протокола PEAP. В случае установки сертификата сервера включается проверка подлинности сервера.

  • Должна быть включена настройка «Разрешить EAP-MSCHAPv2».

  • Необходимо настроить учетную запись пользователя и пароль.

  • Для аутентификации по паролю можно использовать локальную базу данных ACS или внешнюю базу (например, Windows или LDAP).

Включение аутентификации PEAP
Процедура
Шаг 1

На веб-странице администрирования телефона выберите PEAP в качестве режима аутентификации.

Шаг 2

Введите имя пользователя и пароль.

Обеспечение безопасности беспроводной сети

Телефоны Cisco, поддерживающие Wi-Fi, имеют дополнительные требования к безопасности и нуждаются в дополнительной настройке. Эти дополнительные действия включают установку сертификатов и настройку параметров безопасности на телефонах и в Cisco Unified Communications Manager.

Дополнительные сведения см. в разделе Руководство по безопасности для Cisco Unified Communications Manager.

Страница администрирования телефона Cisco IP

Для телефонов Cisco, поддерживающих Wi-Fi, существуют специальные веб-страницы, отличающиеся от веб-страниц для других телефонов. Эти специальные веб-страницы следует использовать для настройки безопасности телефона, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен. Используйте эти страницы, когда требуется вручную установить на телефоне сертификаты безопасности, загрузить сертификат безопасности или вручную установить на телефоне дату и время.

На этих веб-страницах отображается та же информация, что и на веб-страницах для других телефонов, в том числе информация об устройстве, настройка сети, журналы и статистика.

Настройка страницы администрирования для телефона

Веб-страница администрирования включена, если телефон поставляется с завода-изготовителя с паролем Cisco. Однако если телефон регистрируется в Cisco Unified Communications Manager, необходимо включить веб-страницу администрирования и установить новый пароль.

После регистрации телефона включите эту веб-страницу и задайте учетные данные для входа перед первым использованием этой веб-страницы.

После включения веб-страницы администрирования она становится доступна через порт HTTPS 8443 (https://x.x.x.x:8443, где x.x.x.x — IP-адрес телефона).

Подготовка

Перед включением веб-страницы администрирования придумайте пароль. Пароль может быть любым сочетанием букв или цифр и должен иметь длину от 8 до 127 символов.

Вашим постоянным именем пользователя становится имя admin.

Процедура
Шаг 1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон.

Шаг 2

Найдите свой телефон.
Шаг 3

В разделе Схема конфигурации для отдельного продукта установите для параметра «Веб-администрирование» значение Включено.

Шаг 4

В поле «Пароль администратора» введите свой пароль.
Шаг 5

Выберите Сохранить, а затем нажмите OK.

Шаг 6

Выберите Применить конфигурацию, а затем нажмите OK.

Шаг 7

Перезагрузите телефон.
Доступ к веб-странице администрирования телефона

Для получения доступа к веб-страницам администрирования необходимо указать номер порта администрирования.

Процедура
Шаг 1

Узнайте IP-адрес телефона.

  • В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон и найдите нужный телефон. Телефоны, которые регистрируются в Cisco Unified Communications Manager, отображают IP-адрес в окне Поиск и отображение телефонов в верхней части окна конфигурации телефона.
  • На телефоне нажмите Приложения , выберите Информация о телефоне и прокрутите вниз до поля «Адрес IPv4».
Шаг 2

Откройте веб-браузер и введите следующий URL-адрес, где IP_адрес — это IP-адрес телефона Cisco IP:

https://<IP_адрес>:8443
Шаг 3

В поле «Пароль» введите пароль.
Шаг 4

Нажмите Отправить.

Установка сертификата пользователя с веб-страницы администрирования телефона

Сертификат пользователя можно установить на телефоне вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

В качестве сертификата пользователя для EAP-TLS может использоваться предустановленный на производстве сертификат (MIC).

После установки сертификата пользователя необходимо добавить его в список доверия на сервере RADIUS.

Подготовка
Перед установкой сертификата пользователя для телефона проверьте наличие следующих компонентов:

  • Сертификат пользователя, сохраненный на ПК. Сертификат должен быть в формате PKCS #12.

  • Пароль для извлечения сертификата.

Процедура
Шаг 1

На веб-странице администрирования телефона выберите Сертификаты.

Шаг 2

Найдите поле «Установлен пользователем» и щелкните Установить.

Шаг 3

Выберите сертификат на своем ПК.

Шаг 4

В поле Пароль для извлечения введите пароль для извлечения сертификата.

Шаг 5

Нажмите Загрузить.

Шаг 6

После завершения загрузки перезагрузите телефон.
Установка сертификата сервера аутентификации с веб-страницы администрирования телефона

Сертификат сервера аутентификации можно установить на телефоне вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

Для EAP-TLS необходимо установить сертификат корневого центра аутентификации, который выдал сертификат сервера RADIUS.

Подготовка

Перед установкой сертификата сервера аутентификации на телефоне необходимо сохранить его на ПК. Для сертификата должно использоваться шифрование в PEM (Base-64) или DER.

Процедура
Шаг 1

На веб-странице администрирования телефона выберите Сертификаты.

Шаг 2

Найдите поле Центр сертификации сервера аутентификации (Веб-страница администратора) и щелкните Установить.

Шаг 3

Выберите сертификат на своем ПК.

Шаг 4

Нажмите Загрузить.

Шаг 5

После завершения загрузки перезагрузите телефон.

При установке нескольких сертификатов все они должны быть установлены до перезапуска телефона.
Удаление сертификата безопасности на веб-странице администрирования телефона вручную

Сертификат безопасности можно удалить с телефона вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

Процедура
Шаг 1

На веб-странице администрирования телефона выберите Сертификаты.

Шаг 2

Найдите сертификат на странице Сертификаты.

Шаг 3

Щелкните «Удалить».

Шаг 4

После завершения процесса удаления перезагрузите телефон.
Настройка даты и времени на телефоне вручную

При аутентификации на основе сертификата телефон должен отображать правильную дату и время. Сервер аутентификации проверяет дату и время на телефоне, сравнивая их со сроком действия сертификата. Если дата и время на телефоне и сервере не совпадают, телефон перестает работать.

Используйте эту процедуру, чтобы вручную задать дату и время на телефоне, если телефон не получает правильную информацию из вашей сети.

Процедура
Шаг 1

Прокрутите веб-страницу администрирования телефона до пункта Дата и время.

Шаг 2

Выберите один из следующих вариантов:

  • Щелкните Настроить телефон на местную дату/время для синхронизации телефона с локальным сервером.
  • В полях Укажите дату и время выберите месяц, день, год, час, минуту и секунду с помощью соответствующих меню, затем щелкните Настроить телефон на определенную дату/время.

Настройка SCEP

Протокол SCEP (Simple Certificate Enrollment Protocol) является стандартом для автоматического предоставления и обновления сертификатов. Он позволяет избежать установки сертификатов на телефонах вручную.

Настройка параметров конфигурации отдельного продукта SCEP

На веб-странице телефона необходимо настроить следующие параметры SCEP:

  • IP-адрес RA;

  • отпечаток ключа сертификата корневого центра SHA-1 или SHA-256 для сервера SCEP.

Центр регистрации Cisco IOS (RA) используется в качестве прокси для сервера SCEP. Клиент SCEP на телефоне использует параметры, которые загружаются из Cisco Unified Communication Manager. После настройки этих параметров телефон отправляет запрос SCEP getcs в RA, и сертификат корневого центра подтверждается с помощью заданного отпечатка.

Процедура
Шаг 1

В средстве администрирования Cisco Unified Communications Manager Administration выберите Устройство > Телефон.

Шаг 2

Найдите нужный телефон.
Шаг 3

Прокрутите вниз до области Схема конфигурации для отдельного продукта.

Шаг 4

Установите флажок Сервер WLAN SCEP, чтобы активировать параметр SCEP.

Шаг 5

Чтобы активировать параметр «SCEP QED», установите флажок Отпечаток ключа корневого центра сертификации WLAN (SHA256 или SHA1).

Поддержка сервера SCEP (Simple Certificate Enrollment Protocol)

Если вы используете сервер SCEP (Simple Certificate Enrollment Protocol), сервер может автоматически поддерживать сертификаты пользователей и сервера. На сервере SCEP настройте агент регистрации SCEP (RA) для выполнения следующих задач:

  • выполнение функций точки доверия PKI;

  • выполнение функций RA PKI;

  • выполнение аутентификации устройств с помощью сервера RADIUS.

Дополнительные сведения см. в документации по серверу SCEP

Аутентификация 802.1X

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL на средство аутентификации 802.1X, размещенное на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не будет выполнять роль коммутатора локальной сети для аутентификации конечной точки данных перед получением доступа к сети.

Телефоны Cisco IP также предоставляют механизм выхода из прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как поддерживается канал между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон передает сообщение о выходе EAPOL на коммутатор от лица расположенного ниже ПК, что приводит к очистке коммутатором локальной сети записи аутентификации о расположенном ниже ПК.

Для поддержки аутентификации 802.1X требуются несколько компонентов.

  • Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущий выпуск запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • Защищенный сервер управления доступом (ACS) Cisco (или другой сторонний сервер аутентификации): сервер аутентификации и телефон должны быть настроены с применением совместно используемого секретного ключа, который аутентифицирует телефон.

  • Коммутатор Cisco Catalyst (или другой сторонний коммутатор): коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции средства аутентификации и передавать сообщения между телефоном и севером аутентификации. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

  • Настройка порта ПК: стандарт 802.1X не учитывает сети VLAN, поэтому рекомендуется, чтобы только одно устройство проходило аутентификацию по определенному порту коммутатора. Однако некоторые коммутаторы (включая коммутаторы Cisco Catalyst) поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключать ПК к порту ПК на телефоне.

    • Включено: если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подключить к нему ПК. В этом случае телефоны Cisco IP поддерживают выход с прокси-сервера EAPOL для отслеживания обмена данными аутентификации между коммутатором и подключенным ПК. Дополнительные сведения о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по конфигурации коммутаторов Cisco Catalyst:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

    • Отключено: если коммутатор не поддерживает нескольких устройств, совместимых с 802.1X, на одном и том же порте, необходимо отключить порт ПК, если включена аутентификация 802.1X. Если вы не отключите этот порт и впоследствии попытаетесь подключить к нему ПК, коммутатор откажет в доступе к сети и телефону, и ПК.

  • Настройка голосовой VLAN: так как стандарт 802.1X не принимает в расчет VLAN, необходимо настроить этот параметр в зависимости от поддержки коммутатором.
    • Включено: если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
    • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычному VLAN.

Доступ к параметрам аутентификации 802.1X

Вы можете получить доступ к параметрам аутентификации 802.1X, выполнив следующие действия.

Процедура
Шаг 1

Нажмите Приложения .

Шаг 2

Выберите Настройки администратора > Настройки безопасности > Аутентификация 802.1X.

Шаг 3

Настройте параметры, как описано в Параметры аутентификации 802.1X.

Шаг 4

Для выхода из этого меню нажмите Выход.

Параметры аутентификации 802.1X

В следующей таблице описаны параметры аутентификации 802.1X.

Табл. 6. Параметры аутентификации 802.1X

Параметр

Описание

Желаемое изменение

Аутент. устройства

Задает, включена ли аутентификация 802.1X.

  • Включено: телефон использует аутентификацию 802.1X для запроса доступа к сети.
  • Отключено: настройка по умолчанию. Телефон использует CDP для получения VLAN и доступа к сети.

См. Установка значения для поля «Аутентификация устройства».

Состояние операции

Состояние: отображает состояние аутентификации 802.1X:

  • Отключено: указывает, что аутентификация 802.1X не настроена на телефоне.

  • Аутентификация выполнена: указывает, что телефон прошел аутентификацию.

  • На удержании: указывает, что выполняется процесс аутентификации.

Протокол: отображает метод EAP, который используется для аутентификации 802.1X (может быть EAP-FAST или EAP-TLS).

Только отображение. Настройка невозможна.

Установка значения для поля «Аутентификация устройства»

Процедура
Шаг 1

Нажмите Приложения .

Шаг 2

Выберите Настройки администратора > Настройки безопасности > Аутентификация 802.1X

Шаг 3

Задайте значение для параметра «Аутентификация устройства».

  • Да
  • Нет
Шаг 4

Нажмите Применить.

Помог ли этот документ?

FeedbackОбратная связь

Связаться с Cisco

Обсуждения по теме в сообществе Cisco

Следите за новостями
Пресс-центрМероприятияБлогиСообщество
Центр Доверия
Свяжитесь С Нами
Работайте с Нами