Cisco 8800 Serie Administratorhandbuch Seite 117

Verwaltung von Cisco IP-Telefon
Bei der EAP- und der CCKM-Authentifizierung können zur Verschlüsselung WEP-Schlüssel verwendet
werden. Der RADIUS-Server verwaltet den WEP-Schlüssel und übergibt nach der Authentifizierung
einen eindeutigen Schlüssel zur Verschlüsselung aller Sprachpakete an den Access Point. Daher können
sich diese WEP-Schlüssel mit jeder Authentifizierung ändern.
TKIP
WPA und CCKM verwenden die TKIP-Verschlüsselung. Dabei handelt es sich um eine Methode, die
im Vergleich zu WEP mehrere Verbesserungen aufweist. TKIP ermöglicht die Verschlüsselung einzelner
Paket und bietet längere Initialisierungsvektoren (IVs), um die Sicherheit der Verschlüsselung zu erhöhen.
Darüber hinaus gewährleistet eine Nachrichtenintegritätsprüfung, dass die verschlüsselten Pakete nicht
geändert werden. TKIP besitzt nicht die Vorhersehbarkeit von WEP, die es Angreifern ermöglicht, den
WEP-Schlüssel zu entschlüsseln.
AES
Eine Verschlüsselungsmethode, die für die WPA2-Authentifizierung verwendet wird. Dieser nationale
Verschlüsselungsstandard verwendet einen symmetrischen Algorithmus, bei dem die Schlüssel für Ver-
und Entschlüsselung identisch sind. AES verwendet CBC-Verschlüsselung (Cipher Blocking Chain) mit
einer Größe von 128 Bit, wodurch Schlüssellängen von mindestens 128 Bit, 192 Bit und 256 Bit unterstützt
werden. Das Cisco IP-Telefon unterstützt eine Schlüssellänge von 256 Bit.
Hinweis
Das Cisco IP-Telefon bietet keine Unterstützung für CKIP (Cisco Key Integrity Protocol) mit CMIC.
Authentifizierungs- und Verschlüsselungsschemata werden innerhalb des Wireless LAN eingerichtet. VLANs
werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von
Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem spezifischen
Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit kabellose Client-Geräte erfolgreich
authentifiziert werden können, müssen Sie an den Access Points und auf dem Cisco IP-Telefon die gleichen
SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.
Einige Authentifizierungsschemata erfordern bestimmte Arten von Verschlüsselung. Mit der offenen
Authentifizierung können Sie für zusätzliche Sicherheit die statische WEP-Verschlüsselung verwenden. Wenn
Sie jedoch die Authentifizierung über einen gemeinsamen Schlüssel verwenden, müssen Sie statisches WEP
als Verschlüsselung festlegen und einen WEP-Schlüssel auf dem Telefon konfigurieren.
Hinweis
• Wenn Sie WPA Pre-shared Key oder WPA2 Pre-shared Key verwenden, muss der vorinstallierte Schlüssel
auf dem Telefon statisch festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln am Access Point
übereinstimmen.
• Das Cisco IP-Telefon unterstützt die automatische EAP-Aushandlung nicht. Wenn der EAP-FAST-Modus
verwendet werden soll, müssen Sie diesen festlegen.
Die folgende Tabelle enthält eine Liste der Authentifizierungs- und Verschlüsselungsschemata, die auf den
vom Cisco IP-Telefon unterstützten Cisco Aironet Access Points konfiguriert werden können. Die Tabelle
zeigt die Netzwerkkonfigurationsoption für das Telefon, die der Konfiguration des Access Points entspricht.
Cisco IP-Telefon 8800-Serie Administratorhandbuch für Cisco Unified Communications Manager
WLAN-Sicherheit
101