Cisco 8832 Administratorhandbuch Seite 94

WLAN-Sicherheit
AID) an den Client (Telefon), der wiederum die richtige PAC auswählt. Der Client (Telefon) gibt einen
PAC-Opaque-Wert an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem
Master-Schlüssel. Beide Endpunkte verfügen nun über den PAC-Schlüssel, und ein TLS-Tunnel wird
erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem
RADIUS-Server aktiviert werden.
Hinweis
• Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS
erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei einem kabelgebundenen
EAP-TLS kann es sich beim Client-Zertifikat entweder um das MIC oder das LSC des Telefons handeln.
LSC ist das empfohlene Client-Authentifizierungszertifikat für kabelgebundenes EAP-TLS.
• PEAP (Protected Extensible Authentication Protocol): ein von Cisco entwickeltes, kennwortbasiertes
Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Cisco
IP-Telefon kann PEAP für die Authentifizierung beim Wireless-Netzwerk verwenden. Es wird nur
PEAP-MSCHAPV2 unterstützt. PEAP-GTC wird nicht unterstützt.
Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu
verwalten:
• WPA/WPA2: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu
generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA/WPA2
eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon
gespeichert sind.
• Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless
Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit
Sicherheitsanmeldedaten für CCKM-fähige Client-Geräte, um eine schnelle und sichere erneute
Authentifizierung zu gewährleisten. Die Cisco IP-Telefon 8800-Serie unterstützt 802.11r (FT). Sowohl
11r (FT) als auch CCKM werden unterstützt, um ein schnelles, sicheres Roaming zu ermöglichen. Jedoch
Cisco empfiehlt dringend die 802.11r (links) über Air Methode nutzen.
Bei WPA/WPA2 und CCKM werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben,
sondern zwischen dem Access Point und dem Telefon automatisch abgeleitet. Der EAP-Benutzername und
das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben
werden.
Um die Sicherheit des Sprachdatenverkehrs zu gewährleisten, unterstützt das Cisco IP-Telefon die
Verschlüsselung mit WEP, TKIP und AES (Advanced Encryption Standard). Bei diesen
Verschlüsselungsmechanismen werden sowohl die SIP-Signalpakete als auch die RTP-Pakete (Real-Time
Transport Protocol) zwischen dem Access Point und dem Cisco IP-Telefon verschlüsselt.
WEP
Bei Verwendung von WEP in einem Wireless-Netzwerk erfolgt die Authentifizierung am Access Point
mit offener Authentifizierung oder Authentifizierung über einen gemeinsamen Schlüssel. Der auf dem
Cisco IP Conference Phone 8832 Administratorhandbuch für Cisco Unified Communications Manager
84
Auf dem Cisco ACS läuft die PAC standardmäßig nach einer Woche ab. Wenn
auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung
beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um
Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den
Ablaufzeitraum für die PAC auf dem ACS oder RADIUS-Server auf mindestens
90 Tage festlegen.
Cisco IP-Konferenztelefon Administration