Cisco IP puhelimen suojaus

Puhelimen Web-sivun manuaalisten määritysten SCEP-varmennerekisteröinnin lisäksi voit käyttää DHCP-asetusta 43 myös täyttääksesi parametrit DHCP-palvelimesta. DHCP-asetus 43 on esimääritetty SCEP-parametreilla. Myöhemmin puhelin voi noutaa parametrit DHCP-palvelimesta SCEP-varmennerekisteröintiä varten.

Jos haluat rekisteröidä SCEP-varmenteen määrittämällä SCEP-parametrit DHCP-vaihtoehtoon 43, tee seuraavaa:

1. Valmistele SCEP-ympäristö.

   Lisätietoja SCEP-ympäristön määrittämisestä on SCEP-palvelimen käyttöoppaissa.

2. Määritä DHCP -asetus 43 (määritetty kohdassa 8.4 Toimittajan erityistiedot, RFC 2132).

   Subominans (10–15) on varattu menetelmälle:

   Puhelimen Web-sivun parametrit	Subsummani	Tyyppi	Pituus (tavu)	Pakollinen
   FIPS-tila	10	Boolean	1	Ei*
   Palvelin	11	merkkijono	208 - pituus (Challenge Password)	Kyllä
   Varmenteiden päämyöntäjän tunniste	12	binääri	20 tai 32	Kyllä
   Haasteen salasana	13	merkkijono	208 - pituus (palvelin)	Ei*
   Ota 802.1X-todennus käyttöön	14	Boolean	1	Ei
   Varmenteen valitseminen	15	8-bittinen allekirjoittamaton	1	Ei

   Kun käytät DHCP -asetusta 43, huomaa seuraavat menetelmän ominaisuudet:

   • Subominans (10–15) on varattu CDC-varmennetta varten.
   • Asetuksen 43 DHCP enimmäispituus on 255 tavua.
   • Server + Challenge Password -salasanan enimmäispituus on oltava alle 208 tavua.
   • FIPS-tilan arvon on oltava yhtenäinen laivallaolon valmistelun määritysten kanssa. Muussa tapauksessa puhelin ei pysty noutamaan aiemmin asennettua varmennetta lautaan asentamisen jälkeen. Erityisesti
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on poistettu käytöstä, sinun ei tarvitse määrittää FIPS-tila-parametria DHCP vaihtoehdossa 43. FIPS-tila on oletusarvoisesti poistettu käytöstä.
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on käytössä, sinun on otettava FIPS-tila käyttöön DHCP vaihtoehto 43. Lisätietoja on FIPS-tilan käyttöönotossa.
   • Vaihtoehdon 43 salasana on tekstinä cleartext.

     Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI:a ensimmäiseen ilmoittautumiseen ja varmenteen uusimiseen. Jos haasteen salasana on määritetty, sitä käytetään vain alkurekisteröintiin ja asennettua varmennetta käytetään varmenteen uusimiseen.

   • Enable 802.1X -todennus ja varmennevalinta ovat käytössä vain langallisen verkon puhelimissa.
   • DHCP laitemallin tunnistamiseen käytetään valintaa 60 (toimittajaluokan tunnus).

   Seuraavassa taulukossa on esimerkki DHCP vaihtoehdosta 43 (sublevyns 10–15):

   Subliittymän desimaali/heksa	Arvon pituus (tavu) desimaali/heksa	Arvo	Heksa-arvo
   10/0a pistettä	1/01	1 (0: Ei käytössä; 1: Käytössä)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ei; 1: Kyllä)	01
   15/0f	1/01	1 (0: Valmistus asennettu; 1: Mukautettu asennettu)	01

   Parametrien yhteenveto:

   • FIPS-tila = käytössä

   • Palvelin = http://10.79.57.91

   • Varmenteiden päämyöntäjän sormenjälki = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Haasteen salasana = D233CCF9B9952A15

   • Ota 802.1X-todennus käyttöön = Kyllä

   • Varmennevalinta = Mukautettu asennettu

   Lopullisen heksa-arvon syntaksi on: {<subleveyn><pituus><arvo>}...

   Edellä olevien parametrien mukaan lopullinen heksa-arvo on seuraava:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Määritä DHCP asetus 43 DHCP palvelimesta.
   Tässä vaiheessa on esimerkki Cisco Network Registerin DHCP asetuksen 43 kokoonpanosta.
   1. Lisää DHCP asetusmäärityssarja.

      Toimittajan asetusmerkkijono on IP puhelimen mallinimi. Kelvollinen arvo on: DP-9841, DP-9851, DP-9861, DP-9871 tai CP-8875.

   2. Lisää DHCP -asetus 43 ja alimallit DHCP-asetusjoukkoon.

      Esimerkki:

      

   3. Lisää DHCP-käytäntöön asetuksia 43 ja määritä arvo seuraavasti:

      Esimerkki:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Tarkista asetukset. Wiresharkilla voit tallentaa jäljet puhelimen ja palvelun välisestä verkkoliikenteestä.
4. Tee puhelimen tehdasasetusten palautus.

   Kun puhelin on palautettu, parametrit Palvelin , Varmenteiden päämyöntäjän sormenjälkitunnus ja Haastesalasana tulevat automaattisesti täytetyksi. Nämä parametrit sijaitsevat Puhelimen hallinnan Web-sivun SCEP-kokoonpanon 1 osassa Certificate > Custom .

   Tarkista asennetun varmenteen tiedot valitsemalla Olemassa olevat varmenteet -osasta Näytä .

   Tarkista varmenteen asennustila valitsemalla Varmenne > Todennuksen varmenteen tila. Latauksen tila 1 näyttää viimeisimmän tuloksen. Jos varmenteen ilmoittautumisen aikana ilmenee ongelmia, latauksen tila voi näyttää vianmäärityksen ongelman syyn.

   Jos haasteen salasanan todennus epäonnistuu, käyttäjiä pyydetään antamaan salasana puhelimen näyttöön.
5. (Valinnainen): Poista asennettu varmenne puhelimesta valitsemalla Olemassa olevat varmenteet -osasta Poista .
   Kun napsautat painiketta, poistotoiminto käynnistyy heti ilman vahvistusta.

SCEP-prosessi voi päivittää laitevarmenteen automaattisesti.

• Puhelin tarkistaa, vanheneeko varmenne 15 päivän kuluttua 4 tunnin välein. Jos näin on, puhelin aloittaa varmenteen uusimisprosessin automaattisesti.
• Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-sertifikaattia sekä alkurekisteröinnissä että varmenteen uusimisessa. Jos haasteen salasana on määritetty ja sitä käytetään vain alkurekisteröintiin, olemassa olevaa/asennettua varmennetta käytetään varmenteen uusimiseen.
• Puhelin ei poista vanhaa laitevarmennetta ennen kuin se noutaa uuden.
• Jos varmenteen uusiminen epäonnistuu laitevarmenteen tai myöntäjän vanhentumisen vuoksi, puhelin käynnistää ensimmäisen ilmoittautumisen automaattisesti. Jos haasteen salasanan todennus epäonnistuu, puhelimen näyttöön avautuu salasanan syötenäyttö ja käyttäjiä kehotetaan antamaan puhelimen haastesalasana.

Cisco IP Phones tukee 802.1X-todennusta.

Cisco IP Phones- ja Cisco Catalyst -kytkimet käyttävät perinteisessä käytössään Cisco Discovery Protocol (CDP) tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN-varausta ja inline-virrankäyttöä koskevia vaatimuksia. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjota EAPOL-läpikulkumekanismin. Tämän mekanismin avulla Cisco IP Phone liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentimelle. Läpivientimekanismi varmistaa sen, että IP-puhelin ei toimi LÄHI-kytkimenä todentaakseen datapäätepisteen ennen verkkoon siirtymistä.

Cisco IP Phones myös välityspalvelimen EAPOL-uloskirjautumismekanismin. Jos paikallisesti liitetty tietokone katkeaa IP puhelimesta, LAN-kytkin ei näe fyysistä yhteyttä virheellisen, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle vikasietoisen tietokoneen puolesta, mikä käynnistää LAN-kytkimen tyhjentämään vikasietoisen tietokoneen todennustietueen.

802.1X-todennuksen tuki edellyttää useita osia:

• Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP puhelimien yhteyttä LÄHI-verkon kytkinportteihin. Puhelimen nykyinen versio 802.1X supplicant käyttää EAP-FAST- ja EAP-TLS -asetuksia verkon todennuksessa.

• Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle salaisuudelta, joka todentaa puhelimen.

• Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.

Sinun on määritettävä 802.1X seuraavilla toiminnoilla.

• Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-laitteita, ja suosittelee siksi, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monitoimitodennusta. Kytkinmääritykset määräävät, voiko tietokoneen liittää puhelimen PC-porttiin.

  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP Phones tukemaan välityspalvelinta EAPOL-Logoffia, jotta voit seurata kytkimen ja siihen liitetyn tietokoneen välistä todennus vaihtamista.

    Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkinmäärityksissä seuraavassa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Poissa käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun tulee poistaa PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

• Määritä puhe-VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä tämä asetus kytkintuen perusteella.
  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit käyttää puhe-VLAN-protokollaa edelleen.
  • Ei käytössä: Jos kytkin ei tue monitoimipaikan todennusta, poista puhe-VLAN käytöstä ja harkitse portin määrittämistä alkuperäiselle VLAN-protokollalle.
• (Vain Cisco Desk Phone 9800 -sarjalle)

  Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

  • Käytäntö > Ehdot > Eibrary-ehdot

  • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1