Cisco IP-telefon støtter 802.1X-godkjenning.

Cisco IP-telefon og Cisco Catalyst-svitsjer bruker tradisjonelt CDP-protokollen (Cisco Discovery Protocol) til å identifisere hverandre og definere parametere, for eksempel VLAN-tildeling og innebygde strømkrav. CDP identifiserer ikke lokalt tilknyttede arbeidsstasjoner. Cisco IP-telefon formidler en EAPOL-sendemekanisme. Denne mekanismen tillater at en arbeidsstasjon som er knyttet til Cisco IP-telefon, kan sende EAPOL-meldinger til 802.1X-godkjenneren ved LAN-svitsjen. Sendemekanismen sørger for at IP-telefonen ikke fungerer som LAN-svitsjen for å godkjenne et dataendepunkt før det gis tilgang til nettverket.

Cisco IP-telefoner formidler også en EAPOL-avloggingsmekanisme for proxy. Hvis den lokalt tilknyttede PC-en kobles fra IP-telefonen, vil ikke LAN-svitsjen registrere at den fysiske koblingen ikke lenger fungerer, fordi koblingen mellom LAN-svitsjen og IP-telefonen opprettholdes. For å unngå at nettverksintegriteten svekkes, sender IP-telefonen en EAPOL-avloggingsmelding til svitsjen på vegne av nedstrøms-PC-en, som fører til at LAN-svitsjen fjerner godkjenningsoppføringen for nedstrøms-PC-en.

Støtte for 802.1X-godkjenning krever flere komponenter:

• Cisco IP-telefon: Telefonen sender forespørselen om tilgang til nettverket. Cisco IP-telefoner inneholder en 802.1X-anmoder. Denne anmoderen tillater at nettverksadministratorer kontrollerer tilkoblingen for IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.

• Godkjenningsserver: Både godkjenningsserveren og svitsjen må konfigureres med en delt hemmelighet som godkjenner telefonen.

• svitsj: svitsjen må støtte 802.1X, slik at den kan fungere som godkjenner og sende meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller avslår svitsjen tilgang til nettverket for telefonen.

Du må utføre følgende handlinger for å konfigurere 802.1X.

• Konfigurer de andre komponentene før du aktiverer 802.1X-godkjenning på telefonen.

• Konfigurer PC-port: 802.1X-standarden vurderer ikke VLAN-er. Derfor anbefales det at bare én enhet bør godkjennes for en bestemt svitsjport. Noen svitsjer støtter imidlertid godkjenning av flere domener. Svitsjkonfigurasjonen fastslår om du kan koble en PC til PC-porten på telefonen.

  • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du aktivere PC-porten og koble en PC til den. I dette tilfellet støtter Cisco IP-telefoner EAPOL-avlogging for proxy for å overvåke godkjenningsutvekslingene mellom svitsjen og den tilknyttede PC-en.

    Hvis du vil ha mer informasjon om IEEE 802.1X-støtte på Cisco Catalyst-svitsjene, kan du se retningslinjene for konfigurasjon av Cisco Catalyst-svitsjer på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Deaktivert: Hvis svitsjen ikke støtter flere 802.1X-kompatible enheter på samme port, må du deaktivere PC-porten når 802.1X-godkjenning er aktivert. Hvis du ikke deaktiverer denne porten og forsøker å koble en PC til den, avslår svitsjen nettverkstilgang til både telefonen og PC-en.

• Konfigurer Tale-VLAN: 802.1X-standarden omfatter ikke VLAN-er, og derfor må du konfigurere denne innstillingen basert på svitsjstøtten.
  • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du fortsette å bruke tale-VLAN.
  • Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til opprinnelig VLAN.
• (Kun for Cisco bordtelefon i 9800-serien)

  Cisco Desk Phone 9800-serien har et annet prefiks i PID enn for de andre Cisco-telefonene. Hvis du vil at telefonen skal bestå 802.1X-godkjenning, angir du Radius· Brukernavnparameter for å inkludere Cisco bordtelefon 9800-serien.

  For eksempel er PID for telefon 9841 DP-9841; kan du angi Radius · Brukernavn til å begynne med DP eller inneholder DP. Du kan angi det i begge følgende deler:

  • Retningslinjer > betingelser > bibliotekbetingelser

  • Policy > policysett> autorisasjonspolicy > autorisasjonsregel 1

Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er sikring av talekommunikasjon kritisk i WLAN-er. For å sikre at inntrengere ikke manipulerer eller avlytter taletrafikk, støtter Cisco SAFE Security-arkitekturen telefonen. Hvis du ønsker mer informasjon om sikkerheten i nettverk, kan du se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Den trådløse Cisco-telefoniløsningen gir trådløs nettverkssikkerhet som forhindrer uautoriserte pålogginger og kompromittert kommunikasjon ved å bruke følgende autentiseringsmetoder som telefonen støtter:

• Åpen godkjenning: Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen kan gi godkjenning til en hvilken som helst anmoder eller bare til anmodere som finnes på en liste over brukere. Kommunikasjonen mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.

• Extensible Authentication Protocol – Fleksibel autentisering via sikker tunnelering (EAP-FAST) Autentisering: Denne klient-server-sikkerhetsarkitekturen krypterer EAP-transaksjoner i en Transport Level Security-tunnel (TLS) mellom tilgangspunktet og RADIUS-serveren, for eksempel Identity Services Engine (ISE).

  TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) til godkjenning mellom klienten (telefon) og RADIUS-serveren. Serveren sender en AID (Authority ID) til klienten (telefonen), som igjen velger den riktige PAC-koden. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med hovednøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC-koder, men må du aktivere det på RADIUS-serveren.

  I ISE utløper PAC-en som standard om én uke. Hvis telefonen har en utløpt PAC-kode, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC-kode. For å unngå forsinkelser ved klargjøring av PAC-koder kan du angi utløpsperioden for PAC-koder til 90 dager eller lenger på ISE- eller RADIUS-serveren.

• EAP-TLS-godkjenning (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløs EAP-TLS kan klientsertifikatet være MIC, LSC, eller et brukerinstallert sertifikat.

• PEAP (Protected Extensible Authentication Protocol): Ciscos egenutviklede passordbaserte ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP for autentisering med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.

• Forhåndsdelt nøkkel (PSK): Telefonen støtter ASCII-formatet. Du må bruke dette formatet når du konfigurerer en WPA/WPA2/SAE forhåndsdelt nøkkel:

  ASCII: en streng med ASCII-tegn med 8 til 63 tegn i lengde (0-9, små og store bokstaver, og spesialtegn)

  Eksempel: GREG123567@9ZX&W

De følgende godkjenningsordningene bruker RADIUS-serveren til å håndtere godkjenningsnøkler:

• WPA/WPA2/WPA3: Bruker RADIUS-serverinformasjon til å generere unike nøkler for autentisering. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 bedre sikkerhet enn forhåndsdelte WPA-nøkler som er lagret på tilgangspunktet og telefonen.

• Rask og sikker roaming: bruker RADIUS-serveren og informasjon fra en trådløst domene-server (WDS) til å håndtere og godkjenne nøkler. WDS oppretter en hurtigbuffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker ny autentisering. Cisco Bordtelefon 9861 og 9871 og Cisco Videotelefon 8875 støtter 802.11r (FT). Både trådløst nettverk og over DS støttes for å muliggjøre rask og sikker roaming. Men vi anbefaler på det sterkeste å bruke 802.11r (FT) via luft-metoden.

Med WPA/WPA2/WPA3 legges ikke krypteringsnøkler inn på telefonen, men utledes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.

For å sikre at taletrafikken er sikker, støtter telefonen TKIP og AES for kryptering. Når disse mekanismene brukes til kryptering, krypteres både signalpakkene SIP og talepakkene for sanntidstransportprotokoll (RTP) mellom tilgangspunktet og telefonen.

TKIP

WPA bruker TKIP-kryptering som har flere forbedringer i forhold til WEP. TKIP gir nøkkelchiffrering for hver pakke og lengre initialiseringsvektorer (IV-er) som gir sterkere kryptering. I tillegg sørger en meldingsintegritetskontroll (MIC) for at krypterte pakker ikke blir endret. TKIP fjerner forutsigbarheten ved WEP som kan hjelpe inntrengere med å dechiffrere WEP-nøkkelen.

AES

En krypteringsmetode som brukes for WPA2/WPA3-autentisering. Denne amerikanske nasjonale krypteringsstandarden bruker en symmetrisk algoritme som bruker samme nøkkel til kryptering og dekryptering. AES bruker 128-biters CBC-kryptering (Cipher Blocking Chain), som støtter nøkkelstørrelser på 128 bits, 192 bits og 256 bits som et minimum. Telefonen støtter en nøkkelstørrelse på 256 bits.

Godkjennings- og krypteringsordninger konfigureres innenfor det trådløse LAN-et. VLAN-er konfigureres i nettverket og på tilgangspunktene og angir forskjellige kombinasjoner av godkjenning og kryptering. En SSID knyttes til et VLAN og til den bestemte godkjennings og krypteringsordningen. For at trådløse klientenheter skal kunne autentiseres, må du konfigurere de samme SSID-ene med autentiserings- og krypteringsskjemaene på tilgangspunktene og på telefonen.

Noen godkjenningsordninger krever bestemte typer kryptering.

Autentiserings- og krypteringsskjemaene i tabellen nedenfor viser nettverkskonfigurasjonsalternativene for telefonen som samsvarer med AP-konfigurasjonen.