Cisco IP сигурност на телефона

В допълнение към записването на SCEP сертификат чрез ръчните конфигурации на телефонната уеб страница, можете също да използвате опцията DHCP 43, за да попълните параметрите от DHCP сървър. Опцията DHCP 43 е предварително конфигурирана с параметрите SCEP, по-късно телефонът може да извлече параметрите от DHCP сървъра, за да извърши записването на SCEP сертификат.

За да регистрирате SCEP сертификат, като конфигурирате параметрите на SCEP в опцията 43 на DHCP, направете следното:

1. Подгответе SCEP среда.

   За информация относно настройката на SCEP среда вижте документацията на вашия SCEP сървър.

2. Настройте опция 43 на DHCP (дефинирана в 8.4 Специфична информация за доставчика, RFC 2132).

   Подопциите (10–15) са запазени за метода:

   Параметър на уеб страницата на телефона	Подопция	Тип	Дължина (байт)	Задължително
   Режим FIPS	10	Булева	1	Не*
   Сървър	11	низ	208 - дължина (парола за предизвикателство)	Да
   Корен CA пръстов отпечатък	12	двоичен	20 или 32	Да
   Парола за предизвикателство	13	низ	208 - дължина (сървър)	Не*
   Разрешаване на 802.1X удостоверяване	14	Булева	1	Не
   Избор на сертификат	15	Неподписан 8-битов	1	Не

   Когато използвате опция DHCP 43, обърнете внимание на следните характеристики на метода:

   • Подопциите (10–15) са запазени за сертификат за персонализирано устройство (CDC).
   • Максималната дължина на DHCP опция 43 е 255 байта.
   • Максималната дължина на паролата Server + Challenge трябва да бъде по-малка от 208 байта.
   • Стойността на режима FIPS трябва да съответства на конфигурацията за осигуряване при включване. В противен случай телефонът не успее да извлече предварително инсталирания сертификат след включване. Специално
     • Ако телефонът ще бъде регистриран в среда, в която режимът FIPS е деактивиран, не е необходимо да конфигурирате параметъра FIPS Mode в DHCP опция 43. По подразбиране режимът FIPS е деактивиран.
     • Ако телефонът ще бъде регистриран в среда, в която е активиран режимът FIPS, трябва да активирате режима FIPS в DHCP опция 43. Вижте Активиране на FIPS режим за подробности.
   • Паролата в Опция 43 е в чист текст.

     Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI за първоначално записване и подновяване на сертификата. Ако паролата за предизвикателството е конфигурирана, тя се използва само за първоначалното записване, а инсталираният сертификат ще се използва за подновяване на сертификата.

   • Активиране на 802.1X удостоверяване и избор на сертификат се използват само за телефоните в кабелна мрежа.
   • DHCP опция 60 (идентификатор на класа на доставчика) се използва за идентифициране на модела на устройството.

   Следващата таблица дава пример за вариант 43 на DHCP (подварианти 10—15):

   Подопция десетична/шестнадесетична	Дължина на стойността (байт) десетична/шестнадесетична	Стойност	Шестнадесетична стойност
   10/0а	1/01	1 (0: Деактивирано; 1: Активирано)	01
   11/0б	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0с	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0д	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0е	1/01	1 (0: Не; 1: Да)	01
   15/0е	1/01	1 (0: Инсталирано производство; 1: Инсталирано по поръчка)	01

   Обобщение на стойностите на параметрите:

   • Режим FIPS = Активиран

   • Сървър = http://10.79.57.91

   • Корен CA пръстов отпечатък = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Парола за предизвикателство = D233CCF9B9952A15

   • Активиране на 802.1X удостоверяване = Да

   • Избор на сертификат = Инсталиран по избор

   Синтаксисът на крайната шестнадесетична стойност е: {<suboption><length><value>}...

   Според стойностите на параметрите по-горе, крайната шестнадесетична стойност е следната:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Конфигурирайте DHCP опция 43 на DHCP сървър.
   Тази стъпка предоставя пример за конфигурациите на DHCP опция 43 в мрежовия регистър на Cisco.
   1. Добавете набор от дефиниции на опциите на DHCP.

      Низът за опция на доставчика е името на модела на IP телефоните. Валидната стойност е: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

   2. Добавете опцията 43 на DHCP и подопциите към набора от дефиниции на опциите на DHCP.

      Пример:

      

   3. Добавете опции 43 към DHCP политиката и задайте стойността, както следва:

      Пример:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Проверете настройките. Можете да използвате Wireshark, за да заснемете следа от мрежовия трафик между телефона и услугата.
4. Извършете фабрично нулиране на телефона.

   След нулиране на телефона, параметрите Сървър, Root CA Fingerprint и Challenge Password ще бъдат попълнени автоматично. Тези параметри се намират в раздела SCEP Configuration 1 от Certificate > Custom на уеб страницата за администриране на телефона.

   За да проверите подробностите за инсталирания сертификат, щракнете върху Преглед в секцията Съществуващи сертификати .

   За да проверите състоянието на инсталиране на сертификата, изберете Състояние на сертификат > Персонализиран сертификат. Състоянието на изтегляне 1 показва най-новия резултат. Ако възникне някакъв проблем по време на записването на сертификата, състоянието на изтегляне може да покаже причината за проблема за целите на отстраняването на неизправности.

   Ако удостоверяването с парола за предизвикателство е неуспешно, потребителите ще бъдат подканени да въведат паролата на екрана на телефона.
5. (По избор): За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в секцията Съществуващи сертификати .
   След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.

Сертификатът на устройството може да се обновява автоматично от процеса SCEP.

• Телефонът проверява дали сертификатът ще изтече след 15 дни на всеки 4 часа. Ако е така, телефонът стартира процеса на подновяване на сертификата автоматично.
• Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификата. Ако паролата за предизвикателството е конфигурирана, тя се използва само за първоначално записване, съществуващият/инсталираният сертификат се използва за подновяване на сертификата.
• Телефонът не премахва стария сертификат на устройството, докато не извлече новия.
• Ако подновяването на сертификата е неуспешно, тъй като сертификатът на устройството или CA изтича, телефонът автоматично задейства първоначалното записване. Междувременно, ако удостоверяването на паролата за предизвикателството е неуспешно, на екрана на телефона се появява екран за въвеждане на парола и потребителите са подканени да въведат паролата за предизвикателството на телефона.

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

• Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

• Сървър за удостоверяване: Сървърът за удостоверяване и комутаторът трябва да бъдат конфигурирани със споделена тайна, която удостоверява телефона.

• Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

• Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

• Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

  • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

    За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

• Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
  • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
  • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
• (Само за настолни телефони Cisco 9800 Series)

  Cisco Desk Phone 9800 Series има различен префикс в PID от този за другите телефони Cisco. За да позволите на телефона си да премине 802.1X удостоверяване, задайте Радиус· Параметър потребителско име , за да включите вашия настолен телефон Cisco 9800 Series.

  Например, PID на телефон 9841 е DP-9841; можете да зададете Радиус· Потребителско име за започване с DP или съдържа DP. Можете да го зададете и в двата от следните раздели:

  • Политика > Условия > Библиотечни условия

  • Правила > Правила за набори от правила> Правила за упълномощаване> Правило 1 за упълномощаване