ניתן לרענן את אישור ההתקן באופן אוטומטי על ידי תהליך SCEP.

• הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
• אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן לרישום ראשוני והן לחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת לרישום ראשוני בלבד, האישור הקיים/מותקן משמש לחידוש האישור.
• הטלפון לא מסיר את אישור המכשיר הישן עד שהוא מאחזר את החדש.
• אם חידוש האישור נכשל בגלל שתוקף אישור התקן או CA פג, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, יופיע מסך הזנת סיסמה במסך הטלפון, והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

• טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

• שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

• החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

• הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

• הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

    למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

• הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
  • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
• (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

  לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.

  לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

  • מדיניות > תנאים > תנאי הספרייה

  • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שהפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת Cisco SAFE Security תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה IP האלחוטית של Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:

• פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

• Extensible Authentication Protocol-Flexible Authentication באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

  מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

  ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

• אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, ניתן MIC אישור הלקוח, אישור LSC או אישור המותקן על-ידי המשתמש.

• Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב-PEAP לצורך אימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

• מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:

  ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)

  דוגמה: GREG123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

• WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

• נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. טלפון שולחני Cisco 9861 ו- 9871 וטלפון Cisco Video Phone 8875 תומכים ב- 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES לצורך הצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות SIP האיתות והן מנות פרוטוקול תעבורה בזמן אמת (RTP) קוליות מוצפנות בין נקודת הגישה והטלפון.

TKIP

WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים לעומת WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.

AES

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.