Cisco IP-telefon stöder 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon har en EAPOL-överföringsmekanism. Denna mekanism medger att en arbetsstation som är ansluten till Cisco IP-telefon kan överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN. Överföringsmekanismen säkerställer att IP-telefonen inte agerar som LAN-växel för autentisering av en dataändpunkt innan åtkomsten till nätverket.

Cisco IP-telefon har också en EAPOL-utloggningsmekanism via proxy. Om den lokalt anslutna datorn kopplas bort från IP-telefonen kan LAN-växeln inte tolka att den fysiska länken brutits eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten sänder IP-telefonen ett EAPOL-utloggningsmeddelande till växeln från datorn nedströms, vilket utlöser att LAN-växeln börjar rensa autentiseringsposten för datorn nedströms.

Stödet för 802.1X-autentisering kräver flera komponenter:

• Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.

• Autentiseringsserver: Både autentiseringsservern och switchen måste konfigureras med en delad hemlighet som autentiserar telefonen.

• Växel: Växeln måste ha stöd för 802.1X så att den fungerar för auktorisering och överför meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

• Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.

• Konfigurera PC-porten: 802.1X-standarden använder inte VLAN och föreslår därför att en enda enhet ska autentiseras för en specifik växelport. Men vissa växlar har stöd för multidomänautentisering. Växelkonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.

  • Aktiverat: Om du använder en växel som stöder multidomänautentisering, kan du aktivera PC-porten och ansluta en dator till den. I det här fallet har Cisco IP-telefon stöd för EAPOL-proxyutloggning för att övervaka autentiseringsutväxlingen mellan växeln och en ansluten dator.

    Mer information om stöd för IEEE 802.1X i Cisco Catalyst-växlar finns i Cisco Catalyst-växelkonfigurationshandböcker på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Inaktiverat: Om växeln inte stöder flera 802.1X-kompatibla enheter i samma port, bör du inaktivera PC-porten när 802.1X-autentisering har aktiverats. Om du inte inaktiverar denna port och därefter försöka att fästa en dator till det, förnekar omkopplaren nätverksåtkomst till både telefonen och datorn.

• Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
  • Aktiverat: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
  • Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
• (Endast för Cisco bordstelefon 9800-serien)

  Cisco Bordstelefonen i 9800-serien har ett annat prefix i PID än de andra Cisco-telefonerna. För att din telefon ska kunna godkänna 802.1X-autentisering, ställ in parametern Radius·User-Name så att den inkluderar din Cisco bordstelefon i 9800-serien.

  Till exempel, PID för telefon 9841 är DP-9841; du kan ställa in Radius·Användarnamn till Börja med DP eller Innehåller DP. Du kan ställa in det i båda följande avsnitt:

  • Policy > Villkor > Bibliotekets villkor

  • Policy > Policyuppsättningar > Auktoriseringspolicy > Auktoriseringsregel 1

Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Den trådlösa Cisco telefonilösningen tillhandahåller trådlös nätverkssäkerhet som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:

• Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (AP) kan vara okrypterad.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentisering: Denna klient-server-säkerhetsarkitektur krypterar EAP-transaktioner inom en Transport Level Security-tunnel (TLS) mellan AP:n och RADIUS-servern, till exempel Identity Services Engine (ISE).

  TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.

  I ISE löper PAC som standard ut om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.

• Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlös EAP-TLS kan klientcertifikatet vara MIC, LSC, eller ett användarinstallerat certifikat.

• Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.

• Fördelad nyckel (PSK) Telefonen stöder formatet ASCII. Du måste använda det här formatet när du konfigurerar en WPA/WPA2/SAE-fördelad nyckel:

  ASCII: en sträng med ASCII-tecken med en längd på 8 till 63 tecken (0-9, gemener och versaler A-Z och specialtecken)

  Exempel : GREG123567@9ZX&W

Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:

• WPA/WPA2/WPA3: Använder RADIUS-serverinformation för att generera unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.

• Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering. Cisco Bordstelefon 9861 och 9871 och Cisco Videotelefon 8875 stöder 802.11r (FT). Både trådlösa nätverk och DS stöds för att möjliggöra snabb och säker roaming. Men vi rekommenderar starkt att använda luftburen metod via 802.11r (FT).

Med WPA/WPA2/WPA3 anges inte krypteringsnycklar på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.

För att säkerställa att rösttrafiken är säker stöder telefonen TKIP och AES för kryptering. När dessa mekanismer används för kryptering krypteras både signalpaketen SIP och röstpaketen RTP mellan åtkomstpunkten och telefonen.

TKIP

WPA använder TKIP-kryptering som har flera förbättringar jämfört med WEP. TKIP ger paketvisa nyckelchiffer och längre initieringsvektorer (IV) som stärker krypteringen. Dessutom kan ett MIC (Message Integrity check) säkerställa att krypterade paket inte ändras. TKIP tar bort förutsägbarheten i WEP som hjälper inkräktare att dechiffrera WEP-nyckeln.

AES

En krypteringsmetod som används för WPA2/WPA3-autentisering. Denna nationella standard för kryptering använder en symmetrisk algoritm som har samma nyckel för kryptering och dekryptering. AES använder CBC (Cipher Blocking Chain)-kryptering i 128 bitar, som stöder nyckelstorlekar som är minst 128 bitar, 192 bitar och 256 bitar. Telefonen stöder en nyckelstorlek på 256 bitar.

Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska autentiseras korrekt måste du konfigurera samma SSID:er med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.

Vissa autentiseringsscheman kräver en viss typ av kryptering.

Autentiserings- och krypteringsscheman i följande tabell visar nätverkskonfigurationsalternativen för telefonen som motsvarar AP-konfigurationen.