Cisco Cisco IP Phone 8841 Guida Utente
Cisco supporta gli AP del telefono IP di Cisco e Cisco Aironet. Per ulteriori informazioni sulla protezione
sulle reti, consultare
sulle reti, consultare
La soluzione di telefonia IP Cisco Wireless offre protezione sulla rete wireless in grado di impedire accessi
non autorizzati e comunicazioni compromesse tramite i seguenti metodi di autenticazione supportati dal
telefono IP wireless di Cisco:
non autorizzati e comunicazioni compromesse tramite i seguenti metodi di autenticazione supportati dal
telefono IP wireless di Cisco:
• Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto.
L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti
presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e l'AP potrebbe non essere
crittografata o i dispositivi possono utilizzare le chiavi WEP (Wired equivalent privacy) per fornire
protezione. I dispositivi che utilizzano esclusivamente le chiavi WEP tentano di autenticarsi con un AP
in cui viene utilizzato il metodo WEP.
presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e l'AP potrebbe non essere
crittografata o i dispositivi possono utilizzare le chiavi WEP (Wired equivalent privacy) per fornire
protezione. I dispositivi che utilizzano esclusivamente le chiavi WEP tentano di autenticarsi con un AP
in cui viene utilizzato il metodo WEP.
• Autenticazione EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure
Tunneling): questa architettura di protezione client/server crittografa le transazioni EAP all'interno di
un tunnel TLS (Transport Level Security) tra l'AP e il server RADIUS come ad esempio il server ACS
(Access Control Server) di Cisco.
un tunnel TLS (Transport Level Security) tra l'AP e il server RADIUS come ad esempio il server ACS
(Access Control Server) di Cisco.
Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per
l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al
client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce
una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave principale.
In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST
supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.
l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al
client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce
una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave principale.
In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST
supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.
Per impostazione predefinita, la scadenza della chiave PAC sul server ACS di Cisco è
impostata su una settimana. Se sul telefono è presente una chiave PAC scaduta,
l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere
una nuova chiave PAC. Per evitare ritardi legati al provisioning della chiave PAC,
impostarne la scadenza su almeno 90 giorni sul server ACS o RADIUS.
impostata su una settimana. Se sul telefono è presente una chiave PAC scaduta,
l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere
una nuova chiave PAC. Per evitare ritardi legati al provisioning della chiave PAC,
impostarne la scadenza su almeno 90 giorni sul server ACS o RADIUS.
Nota
• Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione
reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono IP di Cisco può
utilizzare il protocollo PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi
di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.
utilizzare il protocollo PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi
di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.
Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di
autenticazione:
autenticazione:
• WPA/WPA2: utilizza le informazioni sul server RADIUS per generare delle chiavi univoche per
l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il
metodo WPA/WPA2 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP
e sul telefono.
metodo WPA/WPA2 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP
e sul telefono.
• Cisco Centralized Key Management (CCKM): utilizza le informazioni sul server RADIUS e sul server
di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. Il server WDS crea una cache
delle credenziali di protezione per i dispositivi client abilitati per CCKM per una nuova autenticazione
rapida e protetta. Cisco serie 8800 IP Phone supporta 802.11r (FT).
delle credenziali di protezione per i dispositivi client abilitati per CCKM per una nuova autenticazione
rapida e protetta. Cisco serie 8800 IP Phone supporta 802.11r (FT).
Guida di amministrazione di Cisco serie 8800 IP Phone
151
Funzioni di protezione supportate