Cisco 8800 Série Guide De L'utilisateur page 119

Administration du téléphone IP Cisco
périphérique sans fil et le point d'accès peuvent être non chiffrées ou les périphériques peuvent utiliser
des clés WEP (Wired Equivalent Privacy) pour plus de sécurité. Les périphériques utilisant WEP tentent
uniquement de s'authentifier auprès des points d'accès utilisant WEP.
• Authentification EAP-FAS (Extensible Authentication Protocol-Flexible Authentication via Secure
Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP circulant par un
tunnel TLS (Transport Level Security) entre un point d'accès et un serveur RADIUS, comme le serveur
Cisco ACS (Access Control Server).
Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du
client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client
(téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque
au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent
alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique
de PAC, mais vous devez activer cette option sur le serveur RADIUS.
Remarque
• L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS
requiert un certificat client pour l'authentification et l'accès au réseau. Dans le cas d'EAP-TLS filaire, le
certificat client peut être le MIC du téléphone ou un certificat valable localement. Le certificat valable
localement (LSC) est le certificat d'authentification client recommandé dans le cas de l'EAP-TLS filaire.
• Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco
d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Un
téléphone IP Cisco peut utiliser PEAP pour s'authentifier auprès d'un réseau sans fil. Les méthodes
d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.
Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :
• WPA/WPA2 : utilise les informations du serveur RADIUS pour générer des clés d'authentification
uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA/WPA2 assure une sécurité
renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.
• Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans
fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification
pour les périphériques clients ayant activé CCKM, permettant ainsi une ré-authentification rapide et
sécurisée. Le téléphone IP Cisco série 8800 prend en charge 802.11r (FT). 11r (FT) et CCKM sont tous
deux pris en charge pour autoriser l'itinérance sécurisée rapide. Mais, Cisco recommande d'utiliser le
802.11r (FT) plutôt que la méthode aérienne.
Avec WPA/WPA2 et CCKM, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont extrapolées
automatiquement entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP
utilisés pour l'authentification doivent être saisis sur chaque téléphone.
Pour garantir la sécurité du trafic voix, le téléphone IP Cisco prend en charge les protocoles WEP et TKIP
ainsi que la norme AES (Advanced Encryption Standards) pour le chiffrement. Lorsque ces mécanismes sont
Par défaut, dans Cisco ACS, le PAC expire au bout d'une semaine. Si le téléphone
détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend
plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les
délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours
ou plus sur le serveur ACS ou RADIUS.
Guide de l'utilisateur des téléphones IP Cisco 8800 Series pour Cisco Unified Communications Manager.
Sécurité WLAN
103