A Cisco IP Phone támogatja a 802.1X hitelesítést.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.

A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.

A 802.1X hitelesítés támogatása több összetevőt is igényel:

• Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

• Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.

• Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

• A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.

• A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.

  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.

    Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.

• Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
  • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
• (Csak Cisco 9800-as sorozatú asztali telefon esetén)

  Cisco A 9800-as sorozatú asztali telefonok PID előtagja eltér a többi Cisco telefon előtagjától. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon belefoglalásához.

  Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy DP-t tartalmaz. A következő szakaszokban állíthatja be:

  • Házirend > Feltételek > Könyvtári feltételek

  • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálhassák vagy foghassák el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózati biztonsággal kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A Cisco vezeték nélküli IP telefonmegoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza a jogosulatlan bejelentkezéseket és a veszélyeztetett kommunikációt a telefon által támogatott alábbi hitelesítési módszerek használatával:

• Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. A vezeték nélküli eszköz és a hozzáférési pont (AP) közötti kommunikáció titkosítatlan lehet.

• Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos alagútépítésen keresztül (EAP-FAST) Hitelesítés: Ez a kliens-szerver biztonsági architektúra titkosítja a EAP tranzakciókat egy átviteli szintű biztonsági (TLS) alagúton belül az AP és a RADIUS-kiszolgáló, például az Identity Services Engine (ISE) között.

  A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

  Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC, vagy felhasználó által telepített tanúsítvány.

• Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon a PEAP paramétert használhatja a vezeték nélküli hálózattal való hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

• Előre megosztott kulcs (PSK): A telefon támogatja a ASCII formátumot. A WPA/WPA2/SAE előre megosztott kulcs beállításakor ezt a formátumot kell használnia:

  ASCII: egy ASCII-karakterből álló karakterlánc, amely 8–63 karakter hosszú (0–9, kis és nagy A-Z, ill. speciális karakterek)

  Példa: GREG123567@9ZX&W

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

• WPA/WPA2/WPA3: RADIUS szerverinformációkat használ egyedi kulcsok generálásához a hitelesítéshez. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

• Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS gyorsítótárat hoz létre az FT-képes klienseszközök biztonsági hitelesítő adataiból a gyors és biztonságos újrahitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefonok, valamint a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. Mind a vezeték nélküli, mind a DS támogatott a gyors és biztonságos roaming érdekében. Azonban nyomatékosan javasoljuk, hogy használja a 802.11r (FT) Over Air módszert.

A WPA/WPA2/WPA3 használatával a titkosítási kulcsokat nem a telefonon kell megadni, hanem automatikusan származtatják a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A hangforgalom biztonságának biztosítása érdekében a telefon támogatja a TKIP és a AES titkosítást. Amikor ezeket a mechanizmusokat használják a titkosításhoz, mind a jelző SIP csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.

TKIP

A WPA TKIP titkosítást használ, amely számos fejlesztést tartalmaz a WEP-hez képest. A TKIP a titkosítást megerősítő, csomagonkénti kulcsos titkosítást és hosszabb inicializálási vektorokat (IV) tartalmaz. Emellett az üzenet épségének ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok ne módosuljanak. A TKIP megszünteti a WEP kiszámíthatóságát, amely segíthet a behatolóknak a WEP-kulcs megfejtésében.

AES

WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosításhoz használt nemzeti szabvány szimmetrikus algoritmust alkalmaz, amely azonos kulcsot használ a titkosításhoz és a visszafejtéshez. Az AES 128 bites cipher block-chain (CBC) titkosítást használ, amely minimális kulcsméretként támogatja a 128, 192 és 256 bites méretet is. A telefon 256 bites kulcsméretet támogat.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. Ahhoz, hogy a vezeték nélküli klienseszközök sikeresen hitelesítsék magukat, ugyanazokat az SSID-ket kell konfigurálni a hitelesítési és titkosítási sémákkal együtt az AP-ken és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

Az alábbi táblázatban található hitelesítési és titkosítási sémák a hozzáférési pont konfigurációjának megfelelő telefon hálózati konfigurációs beállításait mutatják.