Cisco 8800 Serie Administratorhandbuch Seite 116

WLAN-Sicherheit
Hinweis
• Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS
erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei einem kabelgebundenen
EAP-TLS kann es sich beim Client-Zertifikat entweder um das MIC oder das LSC des Telefons handeln.
LSC ist das empfohlene Client-Authentifizierungszertifikat für kabelgebundenes EAP-TLS.
• PEAP (Protected Extensible Authentication Protocol): ein von Cisco entwickeltes, kennwortbasiertes
Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Cisco
IP-Telefon kann PEAP für die Authentifizierung beim Wireless-Netzwerk verwenden. Als
Authentifizierungsmethoden werden sowohl PEAP-MSCHAPV2 als auch PEAP-GTC unterstützt.
Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu
verwalten:
• WPA/WPA2: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu
generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA/WPA2
eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon
gespeichert sind.
• Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless
Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit
Sicherheitsanmeldedaten für CCKM-fähige Client-Geräte, um eine schnelle und sichere erneute
Authentifizierung zu gewährleisten. Die Cisco IP-Telefon 8800-Serie unterstützt 802.11r (FT). Sowohl
11r (FT) als auch CCKM werden unterstützt, um ein schnelles, sicheres Roaming zu ermöglichen. Jedoch
Cisco empfiehlt dringend die 802.11r (links) über Air Methode nutzen.
Bei WPA/WPA2 und CCKM werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben,
sondern zwischen dem Access Point und dem Telefon automatisch abgeleitet. Der EAP-Benutzername und
das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben
werden.
Um die Sicherheit des Sprachdatenverkehrs zu gewährleisten, unterstützt das Cisco IP-Telefon die
Verschlüsselung mit WEP, TKIP und AES (Advanced Encryption Standard). Bei diesen
Verschlüsselungsmechanismen werden sowohl die SIP-Signalpakete als auch die RTP-Pakete (Real-Time
Transport Protocol) zwischen dem Access Point und dem Cisco IP-Telefon verschlüsselt.
WEP
Bei Verwendung von WEP in einem Wireless-Netzwerk erfolgt die Authentifizierung am Access Point
mit offener Authentifizierung oder Authentifizierung über einen gemeinsamen Schlüssel. Der auf dem
Telefon eingerichtete WEP-Schlüssel muss mit dem am Access Point konfigurierten WEP-Schlüssel
übereinstimmen, um erfolgreiche Verbindungen zu ermöglichen. Das Cisco IP-Telefon unterstützt
WEP-Schlüssel, die 40- oder 128-Bit-Verschlüsselung verwenden und auf dem Telefon und am Access
Point statisch bleiben.
Cisco IP-Telefon 8800-Serie Administratorhandbuch für Cisco Unified Communications Manager
100
Auf dem Cisco ACS läuft die PAC standardmäßig nach einer Woche ab. Wenn
auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung
beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um
Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den
Ablaufzeitraum für die PAC auf dem ACS oder RADIUS-Server auf mindestens
90 Tage festlegen.
Verwaltung von Cisco IP-Telefon