Sicherheit von Cisco IP Telefonen

Neben der Registrierung des SCEP-Zertifikats durch die manuelle Konfiguration auf der Telefon-Webseite können Sie auch die DHCP-Option 43 verwenden, um die Parameter von einem DHCP-Server aufzufüllen. Die DHCP Option 43 ist mit den SCEP-Parametern vorkonfiguriert. Später kann das Telefon die Parameter vom DHCP-Server abrufen, um die SCEP-Zertifikatsregistrierung durchzuführen.

Gehen Sie wie folgt vor, um ein SCEP-Zertifikat zu registrieren, indem Sie die SCEP-Parameter in der DHCP Option 43 konfigurieren:

1. Bereiten Sie eine SCEP-Umgebung vor.

   Weitere Informationen zum Einrichten der SCEP-Umgebung finden Sie in der Dokumentation zu Ihrem SCEP-Server.

2. Richten Sie DHCP Option 43 ein (definiert in 8.4 Anbieterspezifische Informationen, RFC 2132).

   Die Unteroptionen (10–15) sind für die Methode reserviert:

   Parameter auf der Telefon-Webseite	Unteroption	Typ	Länge (Byte)	Pflichtfeld
   FIPS-Modus	10	boolesch	1	Nein*
   Server	11	Zeichenfolge	208 – Länge (Challenge-Passwort)	Ja
   Stamm-CA-Fingerabdruck	12	binär	20 oder 32	Ja
   Abfrage-Passwort	13	Zeichenfolge	208 – Länge (Server)	Nein*
   802.1X-Authentifizierung aktivieren	14	boolesch	1	Nein
   Zertifikat auswählen	15	8-Bit ohne Vorzeichen	1	Nein

   Wenn Sie die DHCP Option 43 verwenden, beachten Sie die folgenden Merkmale der Methode:

   • Die Unteroptionen (10 bis 15) sind für das benutzerdefinierte Gerätezertifikat (Custom Device Certificate, CDC) reserviert.
   • Die maximale Länge DHCP Option 43 beträgt 255 Byte.
   • Die maximale Länge des Server +Challenge-Passworts darf weniger als 208 Bytes betragen.
   • Der Wert des FIPS-Modus muss mit der Konfiguration für die Onboarding-Bereitstellung übereinstimmen. Andernfalls kann das zuvor installierte Zertifikat nach dem Onboarding nicht abgerufen werden. Nämlich
     • Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus deaktiviert ist, müssen Sie den Parameter FIPS-Modus nicht in DHCP Option 43 konfigurieren. Standardmäßig ist der FIPS-Modus deaktiviert.
     • Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus aktiviert ist, müssen Sie den FIPS-Modus in DHCP Option 43 aktivieren. Weitere Informationen finden Sie unter Aktivieren des FIPS-Modus .
   • Das Kennwort in Option 43 liegt im Klartext vor.

     Wenn das Abfragekennwort leer ist, verwendet das Telefon MIC/SUDI für die erstmalige Registrierung und die Erneuerung des Zertifikats. Wenn das Abfragekennwort konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet, und das installierte Zertifikat wird für die Zertifikatserneuerung verwendet.

   • Die Option "802.1X-Authentifizierung aktivieren" und "Zertifikatauswahl" werden nur für Telefone in kabelgebundenen Netzwerken verwendet.
   • DHCP Option 60 (Vendor Class Identifier) wird verwendet, um das Gerätemodell zu identifizieren.

   Die folgende Tabelle enthält ein Beispiel für DHCP Option 43 (Unteroptionen 10–15):

   Suboption dezimal/hex	Wertlänge (Byte) dezimal/hex	Wert	Hexadezimalwert
   10/0A	1/01	1 (0: Deaktiviert; 1: Aktiviert)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0E	1/01	1 (0: Nein; 1: Ja)	01
   15/0f	1/01	1 (0: Hersteller installiert; 1: Kundenspezifisch installiert)	01

   Zusammenfassung der Parameterwerte:

   • FIPS-Modus = Aktiviert

   • Server = http://10.79.57.91

   • Fingerabdruck der Stammzertifizierungsstelle = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Abfragekennwort = D233CCF9B9952A15

   • 802.1X-Authentifizierung aktivieren = Ja

   • Zertifikatauswahl = Benutzerdefiniert installiert

   Die Syntax des letzten Hexadezimalwerts lautet: {<suboption><length><value>}...

   Gemäß den obigen Parameterwerten lautet der endgültige Hexadezimalwert wie folgt:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurieren Sie DHCP Option 43 auf einem DHCP Server.
   Dieser Schritt bietet ein Beispiel für die Konfigurationen der DHCP Option 43 im Cisco Network Register.
   1. Fügen Sie DHCP Optionsdefinitionssatz hinzu.

      Die Herstelleroptionszeichenfolge ist der Modellname der IP Telefone. Der gültige Wert lautet: DP-9841, DP-9851, DP-9861, DP-9871 oder CP-8875.

   2. Fügen Sie die DHCP Option 43 und Unteroptionen zum DHCP Optionsdefinitionssatz hinzu.

      Beispiel:

      

   3. Fügen Sie der Richtlinie "DHCP" die Option 43 hinzu, und richten Sie den Wert wie folgt ein:

      Beispiel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Überprüfen Sie die Einstellungen. Sie können Wireshark verwenden, um eine Spur des Netzwerkverkehrs zwischen dem Telefon und dem Dienst zu erfassen.
4. Das Telefon wurde auf die Werkseinstellungen zurückgesetzt.

   Nach dem Zurücksetzen des Telefons werden die Parameter Server, Stamm-CA-Fingerabdruck und Challenge-Passwort automatisch ausgefüllt. Diese Parameter befinden sich auf der Webseite für die Telefonverwaltung im Abschnitt SCEP-Konfiguration 1 von Certificate > Custom .

   Um die Details des installierten Zertifikats zu überprüfen, klicken Sie im Abschnitt "vorhandene Zertifikate" auf "Anzeigen ".

   Um den Status der Zertifikatinstallation zu überprüfen, wählen Sie Zertifikat > Benutzerdefinierter Zertifikatstatus aus. Der Download-Status 1 zeigt das neueste Ergebnis. Wenn während der Zertifikatsregistrierung ein Problem auftritt, kann der Download-Status die Ursache für die Problembehandlung anzeigen.

   Wenn die Challenge-Kennwortauthentifizierung fehlschlägt, werden die Benutzer auf dem Telefonbildschirm zur Eingabe des Kennworts aufgefordert.
5. (Optional): Um das installierte Zertifikat vom Telefon zu entfernen, klicken Sie im Abschnitt "vorhandene Zertifikate " auf "Löschen ".
   Sobald Sie auf die Schaltfläche klicken, wird der Entfernungsvorgang sofort und ohne Bestätigung gestartet.

Das Gerätezertifikat kann durch den SCEP-Prozess automatisch aktualisiert werden.

• Das Telefon überprüft alle 4 Stunden, ob das Zertifikat in 15 Tagen abläuft. Wenn dies der Fall ist, startet das Telefon automatisch die Zertifikatserneuerung.
• Wenn das Abfragekennwort leer ist, verwendet das Telefon MIC/SUDI sowohl für die erstmalige Registrierung als auch für die Zertifikatserneuerung. Wenn das Challenge-Passwort konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet, das vorhandene/installierte Zertifikat wird für die Zertifikatserneuerung verwendet.
• Das Telefon entfernt das alte Gerätezertifikat erst, wenn das neue abgerufen wird.
• Wenn die Zertifikatserneuerung fehlschlägt, weil das Gerätezertifikat oder die Zertifizierungsstelle abgelaufen ist, löst das Telefon automatisch die Erstregistrierung aus. Wenn in der Zwischenzeit die Authentifizierung des Abfragekennworts fehlschlägt, wird auf dem Telefondisplay ein Bildschirm zur Eingabe des Kennworts angezeigt, in dem die Benutzer aufgefordert werden, das Abfragekennwort auf dem Telefon einzugeben.

Cisco IP-Telefons unterstützen die 802.1X-Authentifizierung.

Cisco IP-Telefons und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und Inline-Energieanforderungen. CDP identifiziert lokal verbundene Arbeitsstationen nicht. Cisco IP-Telefons stellen eine Durchlaufmethode bereit. Diese Methode ermöglicht einer Arbeitsstation, die mit Cisco IP-Telefon verbunden ist, EAPOL-Meldungen an den 802.1X-Authentifikator auf dem LAN-Switch zu übermitteln. Die Durchlaufmethode stellt sicher, dass das IP-Telefon nicht als LAN-Switch agiert, um einen Datenendpunkt zu authentifizieren, bevor das Telefon auf das Netzwerk zugreift.

Cisco IP-Telefons stellen auch eine Proxy-EAPOL-Logoff-Methode bereit. Wenn der lokal verbundene PC vom IP-Telefon getrennt wird, erkennt der LAN-Switch nicht, dass die physische Verbindung unterbrochen wurde, da die Verbindung zwischen dem LAN-Switch und dem IP-Telefon aufrechterhalten wird. Um eine Gefährdung der Netzwerkintegrität zu verhindern, sendet das IP-Telefon im Auftrag des nachgelagerten PCs eine EAPOL-Logoff-Meldung an den Switch, die den LAN-Switch veranlasst, den Authentifizierungseintrag für den nachgelagerten PC zu löschen.

Für die Unterstützung der 802.1X-Authentifizierung sind mehrere Komponenten erforderlich:

• Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.

• Authentifizierungsserver: Der Authentifizierungsserver und der Switch müssen beide mit einem Shared Secret konfiguriert werden, mit dem das Telefon authentifiziert werden kann.

• Switch: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die Nachrichten zwischen Telefon und Authentifizierungsserver übermitteln kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.

Um 802.1X zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

• Konfigurieren Sie die anderen Komponenten, bevor Sie die 802.1X-Authentifizierung auf dem Telefon aktivieren.

• PC-Port konfigurieren: Der 802.1X-Standard berücksichtigt VLANs nicht und empfiehlt deshalb, dass an einem Switch-Port nur ein Gerät authentifiziert werden sollte. Dennoch unterstützen einige Switches die Multidomain-Authentifizierung. Die Switch-Konfiguration bestimmt, ob Sie einen PC an einen PC-Port des Telefon anschließen können.

  • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie den PC-Port aktivieren und einen PC daran anschließen. In diesem Fall unterstützen Cisco IP-Telefone Proxy-EAPOL-Logoff, um die Authentifizierung zwischen dem Switch und dem angeschlossenen PC zu überwachen.

    Weitere Informationen zur Unterstützung von IEEE 802.1X auf Cisco Catalyst-Switches finden Sie in den Konfigurationshandbüchern für die Cisco Catalyst-Switches:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Deaktiviert: Wenn der Switch nicht mehrere 802.1X-kompatible Geräte am selben Port unterstützt, sollten Sie den PC-Port deaktivieren, wenn die 802.1X-Authentifizierung aktiviert wird. Wenn Sie diesen Port nicht deaktivieren und dann versuchen, einen PC anzuschließen, verweigert der Switch den Netzwerkzugriff auf das Telefon und den PC.

• Sprach-VLAN konfigurieren: Da VLANs von 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.
  • Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie das Sprach-VLAN weiterhin verwenden.
  • Deaktiviert: Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
• (Nur für die Cisco Telefon 9800-Serie)

  Die PID der Cisco Desk Phone 9800-Serie unterscheidet sich von der der PID der anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie das Feld Radius· Benutzername-Parameter , um die Cisco Telefon 9800-Serie einzuschließen.

  Die PID des Telefons 9841 lautet beispielsweise DP-9841. Sie können Radius · Benutzername , der mit DP beginnen soll oder enthält DP. Sie können es in den beiden folgenden Abschnitten festlegen:

  • Richtlinie > Bedingungen > Bibliotheksbedingungen

  • Richtlinie > Richtliniensätze > Autorisierungsrichtlinie > Autorisierungsregel 1