Cisco IP telefoonbeveiliging op 9800/8875 (multiplatform)

Het apparaatcertificaat kan automatisch worden vernieuwd tijdens het SCEP-proces.

• De telefoon controleert elke 4 uur of het certificaat over 15 dagen verloopt. Als dat gebeurt, dan wordt het vernieuwingsproces van het certificaat automatisch door de telefoon gestart.
• Als het controlewachtwoord leeg is, gebruikt de telefoon MIC/SUDI zowel voor de eerste inschrijving als bij vernieuwing van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding, en wordt het bestaande/geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.
• Het oude apparaatcertificaat wordt pas verwijderd als het nieuwe certificaat is opgehaald.
• Als de vernieuwing van het certificaat mislukt omdat het apparaatcertificaat of CA verloopt, wordt de initiële inschrijving automatisch door de telefoon geactiveerd. Als de wachtwoordcontrole mislukt, wordt er een invoerscherm voor het wachtwoord op het telefoonscherm weergegeven en worden gebruikers gevraagd om het controlewachtwoord op de telefoon in te voeren.

Cisco IP-telefoon ondersteunt 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP herkent geen lokaal aangesloten werkstations. Cisco IP-telefoons beschikken over een EAPOL-doorgeefmechanisme. Hiermee kan een werkstation dat is verbonden met de Cisco IP-telefoon EAPOL-berichten doorgeven voor 802.1X-verificatie op de LAN-switch. Het doorgeefmechanisme zorgt dat de IP-telefoon niet fungeert als LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons beschikken ook over een proxy EAPOL-uitlogmechanisme. Als de lokaal verbonden pc de verbinding met een IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling niet meer werkt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, stuurt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt getriggerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning van de 802.1X-verificatie zijn diverse onderdelen vereist:

• Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

• Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een gedeeld geheim dat de telefoon verifieert.

• Switch: de switch moet 802.1X ondersteunen, zodat deze als de verificator kan werken en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

U moet de volgende acties uitvoeren om 802.1X te configureren.

• Configureer de overige componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

• Configureer pc-poort: de 802.1X-standaard houdt geen rekening met VLAN's en beveelt daarom aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

  • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en er een pc op aansluiten. In dat geval ondersteunt de Cisco IP-telefoon de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

    Meer informatie over IEEE 802.1X-ondersteuning op Cisco Catalyst-switches vindt u in de handleidingen voor Cisco Catalyst-switchconfiguratie op:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Uitgeschakeld: als de switch niet meerdere met 802.1X compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen als 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op probeert aan te sluiten, weigert de switch netwerktoegang voor de telefoon en de pc.

• Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
  • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u het spraak-VLAN blijven gebruiken.
  • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
• (alleen voor Cisco-bureautelefoon 9800-serie)

  De Cisco Bureautelefoon 9800-serie heeft een ander prefix in het PID dan de andere Cisco-telefoons. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De gebruikersnaamparameter die de Cisco Bureautelefoon 9800 Series moet bevatten.

  De PID van telefoon 9841 is DP-9841; kunt u Radius· Gebruikersnaam om te beginnen met DP of Bevat DP. U kunt deze in beide volgende gedeelten instellen:

  • Beleid > Voorwaarden > Libraire Voorwaarden

  • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de Cisco SAFE Security-architectuur de telefoon. Zie voor meer informatie over beveiliging in netwerken http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Het Cisco Wireless IP telefoniesysteem biedt een draadloos netwerk dat ongeoorloofde aanmeldingen en gevaar voorkomt door de volgende verificatiemethoden die door de telefoon worden ondersteund, te voorkomen:

• Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) authentication: deze beveiligingsarchitectuur voor client-server codeert EAP-transacties binnen een TLS-tunnel (Transport Level Security) tussen de AP en de RADIUS-server, zoals Ise (Identity Services Engine).

  De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.

  In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.

• EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC-, LSC- of door een gebruiker geïnstalleerd certificaat zijn.

• Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.

• Pre-Shared Key (PSK):de telefoon ondersteunt de ASCII-indeling. U moet deze indeling gebruiken bij het instellen van een WPA/WPA2/SAE Pre-shared key:

  ASCII: een ASCII-tekenreeks met een lengte van 8 tot 63 (0-9, kleine letters en hoofdletters a-Z en speciale tekens)

  Voorbeeld: GREG123567@9ZX&W

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

• WPA/WPA2/WPA3: gebruikt gegevens van de RADIUS-server om unieke sleutels voor verificatie te genereren. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.

• Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie. Cisco Desk Phone 9861 en 9871 en Cisco Video Phone 8875 ondersteunen 802.11r (FT). Zowel via de lucht als via de DS worden ondersteund om snel, veilige roaming mogelijk te maken. Maar we raden aan om de 802.11r (FT)-methode te gebruiken.

Bij WPA/WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar worden automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.

Om de veiligheid van het spraakverkeer te garanderen, ondersteunt de telefoon TKIP en AES voor codering. Wanneer deze mechanismen worden gebruikt voor codering, worden zowel de signalerende SIP-pakketten als de spraak real-time transportprotocolpakketten (RTP) versleuteld tussen het AP en de telefoon.

TKIP

WPA maakt gebruik van TKIP-codering die op verschillende manieren verbeteringen heeft ten opzichte van WEP. TKIP biedt sleutelcodering per pakket en langere initialisatievectoren (IV's) die de codering versterken. Bovendien zorgt een Message Integrity Check (MIC) ervoor dat gecodeerde pakketten niet worden gewijzigd. TKIP voorkomt de voorspelbaarheid van WEP waarmee indringers de WEP-sleutel decoderen.

AES

Een versleutelingsmethode die wordt gebruikt voor WPA2/WPA3-verificatie. Deze nationale standaard voor codering gebruikt een symmetrisch algoritme dat dezelfde sleutel voor codering en decodering heeft. AES werkt met CBC-codering (Cipher Blocking Chain) van 128-bits groot, die minimaal de sleutelgrootten 128 bits, 192 bits en 256 bits ondersteunt. De telefoon ondersteunt een toetsgrootte van 256 bits.

Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

De verificatie- en coderingschema's in de volgende tabel tonen de opties voor netwerkconfiguratie voor de telefoon die overeenkomt met de AP-configuratie.