D. Identifizieren eines Telefons
Jump to:
Mit der Zwei-Faktor-Telefon-Provisionierung bietet NFON den neuesten Sicherheitsstandard bei der Authentifizierung bei einem seiner wichtigsten Dienste. Die Telefon-Provisionierung ist ein wesentlicher Teil der Lösung, der für die Einrichtung und Konfiguration von Endgeräten verantwortlich ist. Er verwaltet eine Vielzahl sensibler Daten wie den Namen des Mitarbeiters, die Anrufhistorie, Telefonbucheinträge sowie alles, was zum Telefonieren erforderlich ist. Die Sicherheit dieses entscheidenden Teils der NFON Plattform ist daher eine unserer höchsten Prioritäten.
Standard-Bereitstellungsprozess
Mit der Zwei-Faktor-Authentifizierung wird jedes neue, zertifizierte Endgerät, das auf der NFON-Plattform hinzugefügt wird, weiterhin provisioniert sobald es mit dem Internet verbunden ist. Um die Einrichtung abzuschließen und Anrufe mit dem Gerät führen zu können, ist jedoch eine spezielle PIN, die so genannte "Phone Authentication PIN" (PAP), erforderlich. Dies ist eine 6-stellige Nummer, die pro Geräte-ID (in der Regel die MAC-Adresse) eindeutig ist und im Serviceportal zu finden ist. Der Standardprozess für die Einrichtung neuer Telefone auf der NFON-Plattform erfordert nun 6 Schritte:
Provisionierung neuer Endgeräte
- Fügen Sie ein neues Gerät hinzu und notieren Sie den PAP für diese MAC-Adresse*
- Verbinden Sie das Gerät mit dem lokalen Netzwerk oder starten Sie das Gerät neu, wenn es bereits angeschlossen war.
- Warten Sie, bis das Gerät "Authentifizierung erforderlich" auf dem Display anzeigt.
- Bei den meisten Geräten werden sie bereits mit dem Abnehmen des Hörers automatisch mit dem Authentifizierungsdienst verbunden. Alternativ wählen Sie bitte *89 oder eine beliebige andere Nummer.
- Wenn Sie dazu aufgefordert werden, geben Sie den PAP für dieses spezielle Gerät ein und bestätigen mit der Raute-Taste (#)
- Warten Sie kurz, bis das Gerät authentifiziert wurde und voll funktionsfähig ist
*Eine Liste aller Telefone einschließlich der MAC-Adresse und PAP noch nich authentifizierter Telefone kann als CSV-Datei exportiert werden.
Folgende Geräte unterstützen Zwei-Faktor-Telefon-Provisionierung:
Hersteller | Serie |
Yealink | T19 T4G T4S T4U T5 DECT (W60B, W70B, W80B, W90B) CP Series |
Cisco | SPA112 191 |
Patton | SN Serie |
Linksys | PAP 2 SPA 2102 |
Vereinfachungen für die schnelle Bereitstellung
Zur Vereinfachung und zur Beschleunigung der Bereitstellung ist die Authentifizierung über PAP in den folgenden drei Szenarien nicht erforderlich:
- Für Geräte, für die die Authentifizierung im Serviceportal manuell für 30 Minuten ausgesetzt wurde
- Für Geräte im Netz des Kunden, dessen öffentliche IP-Adresse auf der Whitelist steht. Eine erfolgreiche Provisionierung (Yealink oder Spectralink) setzt diese IP automatisch für 8 Stunden auf die Whitelist. Dieser Zeitraum wird automatisch bei jeder Provisionierung (alle 4-6 Stunden) automatisch verlängert.
In vielen, wenn nicht sogar in den meisten Rollouts neuer Telefone wird die PAP-Authentifizierung nur einmal oder gar nicht erforderlich sein.
Zur Authentifizierung des Telefons bei der Erstinbetriebnahme ist für die Zwei-Faktor-Authentifizierung ein spezieller "Phone Authentication PIN" (PAP) erforderlich. Dieser PAP wird im Admin-Portal unter den Geräteeinstellungen angezeigt.

Einrichtung der Telefone
Neue Geräte werden wie bisher im Admin-Portal angelegt. Bei der Erstellung wird ein eindeutiger 6-stelliger PAP generiert. Dieser PAP ist solange gültig, bis das Gerät vollständig provisioniert wurde. Nach erfolgreicher Authentifizierung wird der PAP nicht mehr benötigt.
Während des gesamten Prozesses kann sich das Gerät in einem der folgenden drei Authentifizierungszustände befinden:

Status | Beschreibung |
Authentifizierung erforderlich | Das Telefon wurde eingerichtet, aber noch nicht erfolgreich authentifiziert |
Authentifizierung fehlgeschlagen | Das Telefon ist vorübergehend für die Authentifizierung gesperrt und akzeptiert keine PAPs |
Authentifizierung blockiert | Das Telefon ist dauerhaft für die Authentifizierung gesperrt und akzeptiert keine PAPs |
Authentifizierung erfolgreich | Das Telefon wurde erfolgreich authentifiziert und vollständig bereitgestellt |
Wenn ein neues Gerät in das Admin-Portal hinzugefügt wurde, ist sein Status zunächst "Authentifizierung erforderlich". In diesem Zustand ist eine Authentifizierung über PAP erforderlich, wenn die öffentliche IP-Adresse des Telefons nicht in die Whitelist steht. Bei erfolgreicher Authentifizierung geht der Status auf "Authentifizierung erfolgreich" (1) über. Nach erfolgreicher Authentifizierung wird der PAP nicht mehr benötigt. Falls die Authentifizierung dreimal hintereinander fehlschlug, wechselt der Status automatisch von "Authentifizierung erforderlich" auf "Authentifizierung fehlgeschlagen" (2). Dieser Zustand wechselt nach 30 Minuten automatisch wieder zurück auf "Authentifizierung erforderlich" (3). Bei mehreren erfolglosen Authentifizierungsversuchen geht der Zustand in "Authentifizierung blockiert" (4) über, wodurch dieses Telefon dauerhaft für weitere Authentifizierungsversuche gesperrt wird. In jedem dieser Zustände kann der Zustand manuell auf "Authentifizierung erforderlich" (5) zurückgesetzt werden, indem der PAP zurückgesetzt wird. Dafür bietet das Admin-Portal zwei Aktionen, die in jedem Zustand verfügbar sind:
Aktion | Beschreibung |
Authentifizierung aussetzen | Deaktiviert explizit alle Authentifizierungsanforderungen für das jeweilige Gerät für 30 Minuten |
Authentifizierung zurücksetzen | Macht die aktuelle Authentifizierung ungültig und erzeugt sofort einen neuen PAP |
Wenn das Gerät seine Konfiguration verliert oder auf die Werkseinstellungen zurückgesetzt wurde, muss die ”Authentifizierung zurücksetzen" Aktion ausgeführt werden, um einen neuen PAP zu generieren und das Gerät erneut zu authentifizieren.
IP Whitelisting
Dauerhaftes Whitelisting
Für Geräte, die von einem Standort aus betrieben werden, der eine feste öffentliche IP-Adresse verwendet, ist es möglich, die öffentliche IP als vertrauenswürdig im Admin-Portal auf eine Whitelist zu setzen. Die NFON-Plattform erfordert dann keine Authentifizierung via PAP mehr für alle Provisionierungs-Anfragen, die von dieser IP-Adresse kommen. Die Whitelist akzeptiert entweder einzelne IPv4-Adressen (xxx.xxx.xxx.xxx) oder IP-Bereiche in CIDR-Notation (xxx.xxx.xxx.xxx./yyy). Sie kann im Admin-Portal "Verwaltung" > "Profil" > "Technische Einstellungen" konfiguriert werden.

Temporäres Whitelisting
Nach erfolgreicher Authentifizierung eines Geräts mittels PAP fügt die NFON-Plattform automatisch die öffentliche IP-Adresse des Netzwerks, von dem sie die Bereitstellungsanforderung erhalten hat, temporär zu der Whitelist hinzu. Die IP-Adresse bleibt ab diesem Zeitpunkt für 8 Stunden gewhitlistet. Werden in diesem Zeitraum neue Geräte oder Bestandsgeräte erfolgreich provisioniert, verlängert sich der Zeitraum kontinuierlich um weitere 8 Stunden. Dieser Mechanismus soll den Bereitstellungsprozess für neue Kunden oder Standorte vereinfachen, oder falls eine statische IP-Adresse nicht verfügbar oder noch nicht bekannt ist.
CSV Export
Es ist möglich, eine Liste aller Geräte aus dem Admin-Portal als CSV-Datei zu exportieren. Diese Datei enthält den Hersteller, den Typ, die MAC-Adresse, das Erstellungsdatum, den Standort sowie den Authentifizierungsstatus. Falls das Gerät noch nicht erfolgreich authentifiziert wurde, enthält die Datei auch den PAP für dieses Gerät. Dies geschieht im Admin-Portal "Verwaltung" > "Batch-Import/Export".

Jedes zertifizierte Endgerät, welches auf der NFON-Plattform hinzugefügt wurde, wird provisioniert, sobald es mit dem Internet verbunden wird. Ohne eine gültige Authentifizierung kann das Gerät jedoch keine Telefonanrufe tätigen oder empfangen, mit Ausnahme von Notrufnummern und des Authentifizierungsdienstes.
Dies gilt für ausgewählte zertifizierte Geräte, die an die NFON-Plattform angeschlossen werden, es sei denn:
- Das Gerät hat die Zwei-Faktor-Authentifizierung mittels PAP bereits abgeschlossen und wurde nicht auf die Werkseinstellungen zurückgesetzt oder hat seine Konfiguration nicht verloren;
- Die Authentifizierung wurde manuell für 30 Minuten über das Serviceportal ausgesetzt;
- Ein weiteres Gerät wurde in den letzten 8 Stunden erfolgreich mit PAP von derselben öffentlichen IP-Adresse authentifiziert;
- Die öffentliche IP-Adresse des Netzwerks wurde zuvor als Whitelist im Serviceportal eingerichtet
Authentifizierungsmodus
Sobald das zertifizierte Gerät an das Netzwerk angeschlossen und mit Strom versorgt wurde, erhält es nur noch eine minimale Konfiguration über den NFON Provisionierungs-Dienst. Auf dem Gerätedisplay wird dann der Hinweis "Authentifizierung erforderlich" angezeigt. In diesem Zustand sind lediglich Anrufe an Notrufnummern und an den Authentifizierungsdienst möglich. Um das Gerät vollständig zu authentifizieren, muß die *89 gewählt werden, wodurch ein Anruf beim Authentifizierungsdienst eingeleitet wird. Ein Sprachdialog führt den Benutzer durch den Prozess und fordert ihn zur Eingabe des PAP auf, gefolgt von der Raute-Taste (#). Anrufe an ein beliebiges anderes Ziel (intern oder extern, abgesehen von Notrufnummern) werden abgefangen und ebenfalls an den Authentifizierungsdienst weitergeleitet. Sofern vom Gerät dies unterstützt, wird bereits durch einfaches Abheben des Hörers automatisch ein Anruf an den Authentifizierungsdienst ausgelöst.
Sobald sich das Gerät erfolgreich über den PAP authentifiziert hat, wird der Anruf beendet und das Gerät erhält seine vollständige Konfiguration vom NFON Provisionierungs-Dienst. Beachten Sie, dass es eine kurze Zeit dauert, bis das Gerät neu konfiguriert wurde und voll funktionsfähig ist.
Fehlgeschlagene Authentifizierung
Falls der Benutzer dreimal hintereinander einen falschen PAP an einem bestimmten Gerät angegeben hat, unterbindet das System weitere Authentifizierungsversuche für dieses Gerät für einen Zeitraum von 30 Minuten. Auf dem Gerätedisplay wird dann "Authentifizierung fehlgeschlagen" angezeigt. Die Wahl von *89 oder jeder anderen Nummer, mit Ausnahme von Notrufnummern, wird abgefangen und eine Ansage abgespielt, die den Benutzer darauf hinweist, dass die Authentifizierung dieses Geräts derzeit nicht möglich ist. Nach Ablauf der 30 Minuten wird das Gerätedisplay automatisch aktualisiert, um die Meldung "Authentifizierung erforderlich" anzuzeigen, und es können weitere Authentifizierungsversuche unternommen werden. Alternativ kann das Gerät über das Serviceportal manuell wieder in den "Authentifizierungsmodus" versetzt werden.
In diesem Zustand ist die Authentifizierung anderer Geräte im selben Netzwerk (von derselben öffentlichen IP-Adresse) weiterhin möglich. Bei erfolgreicher Authentifizierung eines anderen Gerätes in diesem Netzwerk wird die öffentliche IP-Adresse für einen Zeitraum von 8 Stunden auf die Whitelist gesetzt. Der Neustart von Geräten, die die Authentifizierung noch nicht abgeschlossen haben, einschließlich dieser in den Zustand "fehlgeschlagene Authentifizierung", ermöglicht die vollständige Provisionierung dieser Geräte.
Um den richtigen PAP eingeben zu können, muss man die MAC-Adresse eines bestimmten Geräts kennen. Bei den meisten Telefonen kann die MAC-Adresse über das geräteeigene Menü (idR. bei der IP-Adresse) gefunden werden. Sofern vom Endgerät unterstützt, kann auf diese schnell über einen Softkey zugegriffen werden, während sich das Gerät im Zustand "Authentifizierung erforderlich" befindet. Bei Geräten, bei denen dies nicht möglich ist, oder bei Geräten, die überhaupt keinen Bildschirm haben, ist die MAC-Adresse in der Regel auf einem Etikett am Telefon selbst zu finden. Das Etikett befindet sich oft auf der Rück- oder Unterseite des Gerätes und ist für gewöhnlich unter einem Barcode gedruckt zu finden. Die MAC-Adresse ist eine Folge von 12 hexadezimalen Ziffern (Zahlen und Buchstaben), die manchmal in 6 Gruppen von 2 Zeichen, getrennt durch einen Bindestrich oder Doppelpunkt, aufgeteilt sind. Zum Beispiel:
- 1a2b3c4d5e6f
- 1a:2b:3c:4d:5e:6f
- 1A-2B-3C-4D-5E-6F
Hersteller | Link zum Handbuch | Beispiel zur Position der MAC Adresse auf dem Gerät |
Yealink | Handbuch Yealink T19P E2, T41P, T42G, T46G, T48G, T41S, T42S, T46S, T48S, T52S, T54S, T53, T53W, T54W, T57W | ![]() |
snom | Handbuch snom D305, D315, D345, D375, D385 | ![]() |
Poly | ![]() | |
Panasonic | ![]() | |
Gigaset | ![]() | |
Patton | ![]() | |
SPA112 |
Sollte das Telefon seine Konfiguration verlieren oder auf die Werkseinstellungen zurückgesetzt werden, verliert das Gerät wichtige Informationen, die für die Authentifizierung an der NFON-Plattform benötigt werden. In diesem Fall muss ein neuer PAP generiert und zur erneuten Authentifizierung des Gerätes verwendet werden. Die Erstellung eines neuen PAPs erfolgt in den Geräteeinstellungen über das Serviceportal.
Sollte ein Gerät im Serviceportal gelöscht & neu erstellt worden sein oder sollte der PAP unbeabsichtigt zurückgesetzt worden sein, stimmen die Telefon-Authentifizierungsinformationen, die für die NFON-Plattform zur vollständigen Bestätigung der Identität erforderlich sind, nicht mehr mit den im Serviceportal gespeicherten Informationen überein. In diesem Fall muss das Telefon auf die Werkseinstellungen zurückgesetzt und dann mit dem neuen PAP authentifiziert werden.
Die Dokumentation, wie man das Zurücksetzen auf die Werkseinstellungen (FDR) durchführt, ist für die meisten Hersteller verfügbar: