Cisco IP Phones podporuje autentifikáciu 802.1X.

Spínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.

Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko komponentov:

• Cisco IP Phone: Telefón iniciuje žiadosť o prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosebníka telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

• Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.

• Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

• Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.

• Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.

  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore štandardu IEEE 802.1X na spínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínača Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.

• Konfigurácia hlasu VLAN: Pretože štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínača.
  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete v ňom pokračovať a používať hlas VLAN.
  • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, vypnite hlas VLAN a zvážte priradenie portu k natívnemu VLAN.
• (Iba pre Cisco stolový telefón série 9800)

  Cisco Stolový telefón série 9800 má inú predvoľbu v PID ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter používateľského mena na zahrnutie radu Cisco stolového telefónu 9800.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na začiatok na DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Zásada > Podmienky > Podmienky knižnice

  • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1

Keďže všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieťach WLAN kľúčové. Aby sa zabezpečilo, že votrelci nemanipulujú ani nezachytávajú hlasovú prevádzku, architektúra SAFE Security Cisco podporuje telefón. Viac informácií o bezpečnosti v sieťach nájdete na stránke **http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html**.

Bezdrôtové telefónne riešenie Cisco IP poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávnenému prihláseniu a ohrozeniu komunikácie pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

• Otvorené overenie: Akékoľvek bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme požiadavku, môže udeliť autentifikáciu ľubovoľnému žiadateľovi alebo iba žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) môže byť nešifrovaná.

• Protokol rozšíriteľného overovania – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST): Táto architektúra zabezpečenia klient-server šifruje transakcie EAP v rámci tunela Transport Level Security (TLS) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

  Tunel TLS používa na autentifikáciu medzi klientom (telefónom) a serverom RADIUS chránené prístupové poverenia (PAC). Server odošle klientovi (telefónu) ID autorizácie (AID), ktorý v TURN vyberie príslušný PAC. Klient (telefón) vráti na server RADIUS správu PAC-Opaque. Server dešifruje PAC pomocou primárneho kľúča. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické poskytovanie PAC, ale musíte ho povoliť na serveri RADIUS.

  V ISE štandardne platnosť PAC vyprší o jeden týždeň. Ak má telefón vypršaný PAC, autentifikácia so serverom RADIUS trvá dlhšie, kým telefón získa nový PAC. Aby ste predišli oneskoreniam pri poskytovaní PAC, nastavte na serveri ISE alebo RADIUS obdobie expirácie PAC na 90 dní alebo dlhšie.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Autentifikácia: EAP-TLS vyžaduje klientsky certifikát na autentifikáciu a prístup k sieti. Pre bezdrôtové pripojenie EAP-TLS môže byť klientsky certifikát MIC, LSC, alebo certifikát nainštalovaný používateľom.

• Protected Extensible Authentication Protocol (PEAP): Cisco) je proprietárna schéma vzájomného overovania založená na hesle medzi klientom (telefónom) a serverom RADIUS. Telefón môže na autentifikáciu v bezdrôtovej sieti použiť PEAP. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

• Predzdieľaný kľúč (PSK): Telefón podporuje formát ASCII. Pri nastavovaní predzdieľaného kľúča WPA/WPA2/SAE musíte použiť tento formát:

  ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0-9, malé a veľké písmená A-Z a špeciálne znaky)

  Príklad: GREG123567@9ZX&W

Nasledujúce schémy autentifikácie používajú server RADIUS na správu autentifikačných kľúčov:

• WPA/WPA2/WPA3: Používa informácie zo servera RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sú generované na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšiu bezpečnosť ako predzdieľané kľúče WPA, ktoré sú uložené v prístupovom bode a telefóne.

• Rýchly a zabezpečený roaming: Na správu a overovanie kľúčov používa server RADIUS a informácie o serveri bezdrôtovej domény (WDS). WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s povoleným FT pre rýchle a bezpečné opätovné overenie. Cisco Stolový telefón 9861 a 9871 a videotelefón 8875 Cisco podporujú štandard 802.11r (FT). Podporované sú bezdrôtové prenosy aj prenosy cez DS, čo umožňuje rýchly a bezpečný roaming. Dôrazne však odporúčame používať bezdrôtovú metódu 802.11r (FT).

Pri šifrovaní WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú v telefóne, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané na každom telefóne.

Pre zaistenie bezpečnosti hlasovej prevádzky telefón podporuje šifrovanie TKIP a AES. Keď sa tieto mechanizmy používajú na šifrovanie, medzi prístupovým bodom a telefónom sú šifrované signálne pakety SIP aj hlasové pakety Real-Time Transport Protocol (RTP).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčov pre jednotlivé pakety a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správy (MIC) zabezpečuje, že šifrované pakety nie sú zmenené. TKIP odstraňuje predvídateľnosť kľúča WEP, ktorá pomáha útočníkom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie aj dešifrovanie. AES používa šifrovanie Cipher Blocking Chain (CBC) s veľkosťou 128 bitov, ktoré podporuje minimálne veľkosti kľúčov 128 bitov, 192 bitov a 256 bitov. Telefón podporuje kľúč s dĺžkou 256 bitov.

V rámci bezdrôtovej lokálnej siete LAN sú nastavené schémy autentifikácie a šifrovania. Siete VLAN sú konfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa spája s VLAN a konkrétnou schémou autentifikácie a šifrovania. Aby sa bezdrôtové klientske zariadenia úspešne autentifikovali, musíte nakonfigurovať rovnaké SSID s ich schémami autentifikácie a šifrovania na prístupových bodoch a v telefóne.

Niektoré overovacie schémy vyžadujú špecifické typy šifrovania.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktoré zodpovedajú konfigurácii prístupového bodu.