Cisco Cisco IP Phone 8841 Betriebsanweisung
périphérique sans fil et le point d'accès peuvent être non chiffrées ou les périphériques peuvent utiliser
des clés WEP (Wired Equivalent Privacy) pour plus de sécurité. Les périphériques utilisant WEP tentent
uniquement de s'authentifier auprès des points d'accès utilisant WEP.
des clés WEP (Wired Equivalent Privacy) pour plus de sécurité. Les périphériques utilisant WEP tentent
uniquement de s'authentifier auprès des points d'accès utilisant WEP.
• Authentification EAP-FAS (Extensible Authentication Protocol-Flexible Authentication via Secure
Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP circulant par un
tunnel TLS (Transport Level Security) entre un point d'accès et un serveur RADIUS, comme le serveur
Cisco ACS (Access Control Server).
tunnel TLS (Transport Level Security) entre un point d'accès et un serveur RADIUS, comme le serveur
Cisco ACS (Access Control Server).
Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du
client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au
client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ
PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux
terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le
provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.
client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au
client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ
PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux
terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le
provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.
Par défaut, dans Cisco ACS, le PAC expire au bout d'une semaine. Si le téléphone détient
un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps,
car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement
de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ACS ou
RADIUS.
un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps,
car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement
de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ACS ou
RADIUS.
Remarque
• Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco
d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Un
téléphone IP Cisco peut utiliser PEAP pour s'authentifier auprès d'un réseau sans fil. Les méthodes
d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.
téléphone IP Cisco peut utiliser PEAP pour s'authentifier auprès d'un réseau sans fil. Les méthodes
d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.
Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :
• WPA/WPA2 : utilise les informations du serveur RADIUS pour générer des clés d'authentification
uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA/WPA2 assure une sécurité
renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
• CCKM (Gest. central. des clés Cisco) : utilise les informations d'un serveur RADIUS et d'un serveur de
domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations
d'identification pour les périphériques clients ayant activé CCKM, permettant ainsi une ré-authentification
rapide et sécurisée. Le téléphone IP Cisco série 8800 prend en charge 802.11r (FT).
d'identification pour les périphériques clients ayant activé CCKM, permettant ainsi une ré-authentification
rapide et sécurisée. Le téléphone IP Cisco série 8800 prend en charge 802.11r (FT).
Avec WPA/WPA2 et CCKM, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont extrapolées
automatiquement entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP
utilisés pour l'authentification doivent être saisis sur chaque téléphone.
automatiquement entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP
utilisés pour l'authentification doivent être saisis sur chaque téléphone.
Pour garantir la sécurité du trafic voix, le téléphone IP Cisco prend en charge les protocoles WEP et TKIP
ainsi que la norme AES (Advanced Encryption Standards) pour le chiffrement. Lorsque ces mécanismes sont
utilisés pour le chiffrement, les paquets de signalement SIP et les paquets de RTP (Real-Time Transport
Protocol) vocal sont chiffrés entre le point d'accès et le téléphone IP Cisco.
ainsi que la norme AES (Advanced Encryption Standards) pour le chiffrement. Lorsque ces mécanismes sont
utilisés pour le chiffrement, les paquets de signalement SIP et les paquets de RTP (Real-Time Transport
Protocol) vocal sont chiffrés entre le point d'accès et le téléphone IP Cisco.
Guide d'administration des téléphones IP Cisco série 8800
151
Fonctionnalités de sécurité prises en charge