Cisco 8832 Guide D'administration page 101

Administration des téléphones de conférence IP Cisco
• L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS
requiert un certificat client pour l'authentification et l'accès au réseau. Dans le cas d'EAP-TLS filaire, le
certificat client peut être le MIC du téléphone ou un certificat valable localement. Le certificat valable
localement (LSC) est le certificat d'authentification client recommandé dans le cas de l'EAP-TLS filaire.
• Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco
d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Un
téléphone IP Cisco peut utiliser PEAP pour s'authentifier auprès d'un réseau sans fil. Seul
PEAP-MSCHAPv2 est pris en charge. PEAP-GTC n'est pas pris en charge.
Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :
• WPA/WPA2 : utilise les informations du serveur RADIUS pour générer des clés d'authentification
uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA/WPA2 assure une sécurité
renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
• Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans
fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification
pour les périphériques clients ayant activé CCKM, permettant ainsi une ré-authentification rapide et
sécurisée. Le téléphone IP Cisco série 8800 prend en charge 802.11r (FT). 11r (FT) et CCKM sont tous
deux pris en charge pour autoriser l'itinérance sécurisée rapide. Mais, Cisco recommande d'utiliser le
802.11r (FT) plutôt que la méthode aérienne.
Avec WPA/WPA2 et CCKM, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont extrapolées
automatiquement entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP
utilisés pour l'authentification doivent être saisis sur chaque téléphone.
Pour garantir la sécurité du trafic voix, le téléphone IP Cisco prend en charge les protocoles WEP et TKIP
ainsi que la norme AES (Advanced Encryption Standards) pour le chiffrement. Lorsque ces mécanismes sont
utilisés pour le chiffrement, les paquets de signalement SIP et les paquets de RTP (Real-Time Transport
Protocol) vocal sont chiffrés entre le point d'accès et le téléphone IP Cisco.
WEP
Lorsque le réseau sans fil utilise WEP, l'authentification a lieu au point d'accès et s'effectue de manière
ouverte ou via clés partagées. La clé WEP configurée sur le téléphone doit correspondre à la clé WEP
configurée sur le point d'accès pour des connexions réussies. Le téléphone IP Cisco prend en charge les
clés WEP qui utilisent un chiffrement 40 bits ou 128 bits et qui restent statiques sur le téléphone et le
point d'accès.
L'authentification EAP et CCKM peut utiliser des clés WEP pour le chiffrement. Le serveur RADIUS
gère la clé WEP et transmet une clé WEP unique au point d'accès après l'authentification pour chiffrer
tous les paquets voix. En conséquence, ces clés WEP peuvent changer à chaque authentification.
Guide d administration des téléphones de conférence IP Cisco 8832 pour Cisco Unified Communications Manager
R e m a r q u e Par défaut, dans Cisco ACS, le PAC expire au bout d'une semaine.
Si le téléphone détient un PAC qui a expiré, l'authentification avec
le serveur RADIUS prend plus de temps, car le téléphone doit obtenir
un nouveau PAC. Pour éviter les délais de provisionnement de PAC,
configurez la durée de vie du PAC à 90 jours ou plus sur le serveur
ACS ou RADIUS.
Sécurité WLAN
91