Cisco IP zabezpečení telefonu

Kromě zápisu certifikátu SCEP pomocí ručních konfigurací na webové stránce telefonu můžete k naplnění parametrů ze serveru DHCP použít také možnost DHCP 43. Možnost DHCP 43 je předem nakonfigurována s parametry SCEP, později může telefon načíst parametry ze serveru DHCP a provést zápis certifikátu SCEP.

Chcete-li zapsat certifikát SCEP konfigurací parametrů protokolu SCEP v možnosti DHCP 43, postupujte takto:

1. Připravte prostředí SCEP.

   Informace o nastavení prostředí SCEP naleznete v dokumentaci k serveru SCEP.

2. Nastavte DHCP možnost 43 (definováno v 8.4 Informace specifické pro dodavatele, RFC 2132).

   Pro metodu jsou vyhrazeny dílčí možnosti (10–15):

   Parametr na webové stránce telefonu	Dílčí možnost	Typ	Délka (bajt)	Mandatory
   Režim FIPS	10	booleovský	1	Ne*
   Server	11	string	208 - délka (heslo výzvy)	Ano
   Otisk prstu kořenové certifikační autority	12	binární	20 nebo 32	Ano
   Heslo výzvy	13	string	208 - délka (server)	Ne*
   Povolit ověřování 802.1X	14	booleovský	1	Ne
   Výběr certifikátu	15	Nepodepsaný 8bitový	1	Ne

   Při použití možnosti DHCP 43 si všimněte následujících charakteristik metody:

   • Podmožnosti (10–15) jsou vyhrazeny pro vlastní certifikát zařízení (CDC).
   • Maximální délka DHCP možnosti 43 je 255 bajtů.
   • Maximální délka hesla Server + Challenge musí být menší než 208 bajtů.
   • Hodnota režimu FIPS musí být konzistentní s konfigurací zřizování onboardingu. V opačném případě se telefonu po onboardingu nepodaří načíst dříve nainstalovaný certifikát. Specificky
     • Pokud bude telefon registrován v prostředí, kde je zakázán režim FIPS, není nutné konfigurovat parametr Režim FIPS v DHCP možnosti 43. Ve výchozím nastavení je režim FIPS zakázán.
     • Pokud bude telefon zaregistrován v prostředí, kde je povolen režim FIPS, musíte povolit režim FIPS v DHCP možnosti 43. Podrobnosti najdete v tématu Povolení režimu FIPS.
   • Heslo v možnosti 43 je ve formátu prostého textu.

     Pokud je heslo výzvy prázdné, telefon použije MIC/SUDI pro počáteční zápis a obnovení certifikátu. Pokud je heslo výzvy nakonfigurováno, použije se pouze pro počáteční zápis a nainstalovaný certifikát bude použit pro obnovení certifikátu.

   • Povolit ověřování 802.1X a výběr certifikátu se používají pouze pro telefony v kabelové síti.
   • DHCP možnost 60 (identifikátor třídy dodavatele) se používá k identifikaci modelu zařízení.

   V následující tabulce je uveden příklad DHCP možnosti 43 (podmožnosti 10–15):

   Podvolba desítková/šestnáctková	Délka hodnoty (bajt) desítková/šestnáctková	Hodnota	Hexadecimální hodnota
   10/0a	1/01	1 (0: Zakázáno; 1: Povoleno)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ne; 1: Ano)	01
   15/0F	1/01	1 (0: Výroba nainstalována; 1: Vlastní instalace)	01

   Souhrn hodnot parametrů:

   • Režim FIPS = Povoleno

   • Server = http://10.79.57.91

   • Otisk prstu kořenové certifikační autority = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Heslo výzvy = D233CCF9B9952A15

   • Povolit ověřování 802.1X = Ano

   • Výběr certifikátu = Vlastní instalace

   Syntaxe konečné hexadecimální hodnoty je: {<suboption><length><value>}...

   Podle výše uvedených hodnot parametrů je konečná hexadecimální hodnota následující:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Nakonfigurujte DHCP možnost 43 na serveru DHCP.
   Tento krok obsahuje příklad konfigurace DHCP možnosti 43 v síťovém registru Cisco.
   1. Přidejte DHCP sadu definic možností.

      Řetězec možností dodavatele je název modelu IP telefonů. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 nebo CP-8875.

   2. Přidejte DHCP možnost 43 a dílčí možnosti do sady definic možnosti DHCP.

      Příklad:

      

   3. Přidejte možnosti 43 do zásady DHCP a nastavte hodnotu následujícím způsobem:

      Příklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Ověřte nastavení. Wireshark můžete použít k zachycení stopy síťového provozu mezi telefonem a službou.
4. Proveďte obnovení továrního nastavení telefonu.

   Po resetování telefonu budou automaticky vyplněny parametry Server, Otisk kořenové certifikační autority a Heslo výzvy. Tyto parametry jsou umístěny v části Konfigurace SCEP 1 z Certificate > Custom na webové stránce správy telefonu.

   Chcete-li zkontrolovat podrobnosti o nainstalovaném certifikátu, klepněte na tlačítko Zobrazit v části Existující certifikáty .

   Chcete-li zkontrolovat stav instalace certifikátu, vyberte možnost Stav certifikátu > vlastního certifikátu. Stav stahování 1 zobrazuje nejnovější výsledek. Pokud během zápisu certifikátu dojde k nějakému problému, může stav stahování zobrazit příčinu problému pro účely řešení potíží.

   Pokud se ověření heslem výzvy nezdaří, budou uživatelé vyzváni k zadání hesla na obrazovce telefonu.
5. (Volitelné): Chcete-li odebrat nainstalovaný certifikát z telefonu, klikněte v části Existující certifikáty na tlačítko Odstranit .
   Jakmile kliknete na tlačítko, operace odebrání začne okamžitě bez potvrzení.

Certifikát zařízení lze automaticky aktualizovat procesem SCEP.

• Telefon kontroluje, zda certifikát vyprší za 15 dní každé 4 hodiny. Pokud ano, telefon automaticky spustí proces obnovení certifikátu.
• Pokud je heslo výzvy prázdné, telefon použije MIC/SUDI jak pro počáteční zápis, tak pro obnovení certifikátu. Pokud je heslo výzvy nakonfigurováno, použije se pouze pro počáteční zápis, existující/nainstalovaný certifikát se použije pro obnovení certifikátu.
• Telefon neodebere starý certifikát zařízení, dokud nenačte nový.
• Pokud se obnovení certifikátu nezdaří, protože vyprší platnost certifikátu zařízení nebo certifikační autority, telefon automaticky spustí počáteční zápis. Mezitím, pokud se ověření hesla výzvy nezdaří, objeví se na obrazovce telefonu obrazovka pro zadání hesla a uživatelé jsou vyzváni k zadání hesla výzvy v telefonu.

Cisco IP telefony podporují ověřování 802.1X.

Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti. CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony umožňují průchozí mechanismus EAPOL. Tento mechanismus dovoluje pracovní stanici připojené k Cisco IP telefonu předávat zprávy EAPOL ověřovateli 802.1X v přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nefunguje jako přepínač sítě LAN, který ověřuje datový koncový bod před přístupem do sítě.

Cisco IP telefony také umožňují proxy mechanismus odhlášení EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN nezaznamená výpadek fyzického spojení, protože spojení mezi přepínačem LAN a IP telefonem zůstane zachováno. Aby nedošlo k narušení integrity sítě, odešle IP telefon jménem navazujícího počítače přepínači zprávu EAPOL-Logoff, čímž přepínač LAN vymaže ověřovací záznam pro podřízený počítač.

Podpora ověřování 802.1X vyžaduje několik komponent:

• Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.

• Ověřovací server: Ověřovací server i přepínač musí být nakonfigurovány se sdílenou tajnou klíčkou, která ověřuje telefon.

• Přepínač: Přepínač musí podporovat protokol 802.1X, aby mohl fungovat jako ověřovatel a předávat zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.

Pro konfiguraci protokolu 802.1X je třeba provést následující akce.

• Před povolením ověřování 802.1X v telefonu nakonfigurujte ostatní komponenty.

• Konfigurace portu PC: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje, aby se na určitém portu přepínače ověřovalo pouze jedno zařízení. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda lze k portu PC telefonu připojit počítač.

  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V tomto případě Cisco IP telefony podporují proxy server EAPOL-Logoff, který monitoruje výměnu ověření mezi přepínačem a připojeným počítačem.

    Další informace o podpoře standardu IEEE 802.1X v přepínačích Cisco Catalyst naleznete v konfiguračních příručkách přepínačů Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních se standardem 802.1X na stejném portu, měli byste při zapnutém ověřování 802.1X zakázat port PC. Pokud tento port nezakážete a poté se k němu pokusíte připojit počítač, přepínač odepře přístup k síti telefonu i počítači.

• Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete pokračovat v používání hlasové sítě VLAN.
  • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
• (Pouze pro stolní telefon Cisco řady 9800)

  Stolní telefon Cisco řady 9800 má v PID jinou předponu než ostatní telefony Cisco. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name pro zahrnutí vašeho stolního telefonu Cisco řady 9800.

  Například PID telefonu 9841 je DP-9841; můžete nastavit Radius· User-Name pro začátek na DP nebo obsahuje DP. Můžete ji nastavit v obou následujících částech:

  • Zásady > Podmínky > Podmínky knihovny

  • Zásady > Sady zásad> Zásady autorizace> Autorizační pravidlo 1