Les téléphones IP Cisco prennent en charge l’authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de connexion directe à EAPOL. Grâce à ce mécanisme, un poste de travail raccordé au téléphone IP Cisco peut faire passer des messages EAPOL à l’authentifiant 802.1X et au commutateur LAN. Le mécanisme de connexion directe assure que le téléphone IP n’agisse pas en tant que commutateur LAN pour authentifier un terminal de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion d’EAPOL par proxy. Si l’ordinateur raccordé localement est déconnecté du téléphone IP, le commutateur LAN ne détecte pas l’interruption de la liaison physique, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l’intégrité du réseau, le téléphone IP envoie au commutateur un message EAPOL-Logoff au nom de l’ordinateur en aval, pour que le commutateur LAN efface la valeur d’authentification correspondant à l'ordinateur en aval.

La prise en charge de l’authentification 802.1X requiert plusieurs composants :

• Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

• Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

• Commutateur : le commutateur doit prendre en charge la norme 802.1X, afin de pouvoir agir comme authentifiant et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

• Configurez les autres composants avant d'activer l’authentification 802.1X sur le téléphone.

• Configure PC Port (Configurer le port PC) : La norme 802.1X ne tenant pas compte des VLAN, il est recommandé qu’un seul périphérique soit authentifié pour un port de commutation donné. Toutefois, certains commutateurs prennent en charge l’authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez brancher un ordinateur dans le port PC du téléphone.

  • Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge la déconnexion d’EAPOL par proxy pour surveiller les échanges d’authentification entre le commutateur et l’ordinateur relié.

    Pour obtenir plus d’informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco, disponibles à l'adresse :

    Http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée. Si vous ne désactivez pas ce port et tentez ensuite d’y raccorder un ordinateur, le commutateur refusera l'accès réseau au téléphone et à l’ordinateur.

• Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
  • Activé : si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
  • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
• (Pour le téléphone de bureau Cisco série 9800 uniquement)

  Le téléphone de bureau de la série 9800 Cisco a un préfixe différent dans le PID de celui des autres téléphones Cisco. Pour permettre à votre téléphone de passer l'authentification 802.1X, définissez le paramètre Radius·User-Name pour inclure votre téléphone de bureau Cisco série 9800.

  Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez définir Radius·Nom d'utilisateur sur Commencer par DP ou Contient DP. Vous pouvez le définir dans les deux sections suivantes :

  • Politique > Conditions > Conditions de la bibliothèque

  • Politique > Ensembles de politiques > Politique d'autorisation > Règle d'autorisation 1

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour s'assurer que les intrus ne manipulent ni n'interceptent le trafic vocal, l'architecture Cisco SAFE Security prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, consultez http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie IP sans fil Cisco assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

• Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.

• Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP dans un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que Identity Services Engine (ISE).

  Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

  Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

• L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)  : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour le sans fil EAP-TLS, le certificat client peut être un certificat MIC, LSC, ou installé par l'utilisateur.

• Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.

• Pre-Shared Key (PSK) : le téléphone prend en charge le format ASCII. Vous devez utiliser ce format lors de la configuration d'une clé pré-partagée WPA/WPA2/SAE :

  ASCII : chaîne de caractères ASCII de 8 à 63 caractères en longueur (0-9, minuscules et majuscules A-Z, et caractères spéciaux)

  Exemple : GREG123567@9ZX&W

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

• WPA/WPA2/WPA3 : Utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.

• Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée. Cisco Téléphone de bureau 9861 et 9871 et Cisco Téléphone vidéo 8875 prennent en charge 802.11r (FT). La DS est prise en charge à la fois sur les ondes et sur la DS pour permettre une itinérance rapide et sécurisée. Mais nous recommandons vivement d'utiliser la méthode 802.11r (FT) aérienne.

Avec WPA/WPA2/WPA3, les clés de chiffrement ne sont pas entrées sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour garantir la sécurité du trafic voix, le téléphone prend en charge TKIP et AES pour le chiffrement. Lorsque ces mécanismes sont utilisés pour le chiffrement, les paquets de signalisation SIP et les paquets RTP (Real-Time Transport Protocol) vocal sont chiffrés entre le point d'accès et le téléphone.

TKIP

WPA utilise le chiffrement TKIP qui a plusieurs améliorations par rapport à WEP. TKIP assure un chiffrement des clés par paquet et des vecteurs d'initialisation (IV) plus longs qui renforcent le chiffrement. De plus, un message de vérification d'intégrité (MIC) garantit la non-altération des paquets chiffrés. TKIP permet de supprimer le caractère prévisible de WEP, qui faciliterait le déchiffrage de la clé WEP par des intrus.

AES

Une méthode de codage utilisée pour l'authentification WPA2/WPA3. Ce standard national de chiffrement utilise un algorithme symétrique qui emploie une clé identique pour le chiffrement et le décodage. AES utilise un chiffrement CBC (Cipher Blocking Chain) de 128 bits et prend ainsi en charge les tailles de clé de 128, 192 et 256 bits au minimum. Le téléphone prend en charge une taille de clé de 256 bits.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

Les modèles d'authentification et de chiffrement présentés dans le tableau suivant indiquent les options de configuration réseau pour le téléphone correspondant à la configuration du point d'accès.