אבטחת טלפון IP של Cisco

בנוסף לרישום אישור SCEP על-ידי התצורות הידניות בדף האינטרנט של הטלפון, באפשרותך גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להביא את הפרמטרים משרת DHCP כדי לבצע את רישום אישור SCEP.

כדי לרשום אישור SCEP על-ידי קביעת התצורה של פרמטרי SCEP באפשרות DHCP 43, בצע את הפעולות הבאות:

1. הכן סביבת SCEP.

   לקבלת מידע אודות הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP.

2. הגדר DHCP אפשרות 43 (מוגדר ב - 8.4 מידע ספציפי לספק, RFC 2132).

   אפשרויות משנה (10–15) שמורות לשיטה:

   פרמטר בדף האינטרנט של הטלפון	אפשרות משנה	סוג	אורך (בתים)	חובה
   מצב FIPS	10	בוליאני	1	לא*
   שרת	11	מחרוזת	208 - אורך (סיסמת אתגר)	כן
   שורש CA טביעת אצבע	12	בינארי	20 או 32	כן
   סיסמת אתגר	13	מחרוזת	208 - אורך (שרת)	לא*
   הפעל אימות 802.1X	14	בוליאני	1	לא
   בחירת אישור	15	8 סיביות לא חתומות	1	לא

   בעת שימוש באפשרות DHCP 43, שים לב למאפיינים הבאים של השיטה:

   • אפשרויות משנה (10-15) שמורות לאישור התקן מותאם אישית (CDC).
   • האורך המרבי של אפשרות 43 DHCP הוא 255 בתים.
   • האורך המרבי של Server + Challenge Password יהיה קטן מ-208 בתים.
   • הערך של מצב FIPS יהיה עקבי עם תצורת הקצאת הקליטה. אחרת, הטלפון לא יצליח לאחזר את האישור שהותקן קודם לכן לאחר העלייה לאונייה. במיוחד
     • אם הטלפון יירשם בסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS באפשרות 43 DHCP. כברירת מחדל, מצב FIPS מושבת.
     • אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות 43 DHCP. ראה הפעלת מצב FIPS לקבלת פרטים.
   • הסיסמה באפשרות 43 היא בטקסט ברור.

     אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI לצורך ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת רק להרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.

   • הפעלת אימות 802.1X ובחירת אישור משמשים רק עבור טלפונים ברשת קווית.
   • DHCP אפשרות 60 (מזהה מחלקת ספק) משמשת לזיהוי דגם המכשיר.

   הטבלה הבאה מספקת דוגמה לאפשרות 43 DHCP (אפשרויות משנה 10-15):

   אפשרות משנה עשרונית/הקסדצימאלית	אורך ערך (בתים) עשרוני/הקסדצימלי	ערך	ערך הקסדצימלי
   10/0א	1/01	1 (0: מושבת; 1: מופעל)	01
   11/0ב	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0ג	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0ד	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0ה	1/01	1 (0: לא; 1: כן)	01
   15/0F	1/01	1 (0: ייצור מותקן; 1: מותאם אישית מותקן)	01

   סיכום ערכי הפרמטרים:

   • מצב FIPS = מופעל

   • שרת = http://10.79.57.91

   • שורש CA טביעת אצבע = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • סיסמת אתגר = D233CCF9B9952A15

   • הפעל אימות 802.1X = כן

   • אישור בחר = מותקן מותאם אישית

   התחביר של הערך ההקסדצימלי הסופי הוא: {<suboption><length><value>}...

   על פי ערכי הפרמטרים לעיל, ערך ההקסדצימלי הסופי הוא כדלקמן:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. הגדר DHCP אפשרות 43 בשרת DHCP.
   שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב-Cisco Network Register.
   1. הוסף DHCP הגדרת אפשרויות.

      מחרוזת אפשרויות ספק היא שם הדגם של IP טלפונים. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.

   2. הוסף את אפשרות DHCP 43 ואת אפשרויות המשנה לערכת הגדרות האפשרויות DHCP.

      דוגמה:

      

   3. הוסף את אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:

      דוגמה:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. אמת את ההגדרות. באפשרותך להשתמש ב- Wireshark כדי ללכוד מעקב אחר תעבורת הרשת בין הטלפון לשירות.
4. בצע איפוס להגדרות יצרן עבור הטלפון.

   לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע CA בסיס וסיסמת אתגר ימולאו באופן אוטומטי. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך אישור> מותאם אישית בדף האינטרנט של ניהול הטלפון.

   כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים.

   כדי לבדוק את מצב התקנת האישור, בחר מצב אישור > מותאם אישית. מצב הורדה 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, מצב ההורדה יכול להציג את סיבת הבעיה למטרות פתרון בעיות.

   אם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה במסך הטלפון.
5. (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.
   לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.

תהליך SCEP יכול לרענן את אישור ההתקן באופן אוטומטי.

• הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
• אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן להרשמה ראשונית והן לחידוש אישור. אם סיסמת האתגר מוגדרת, היא משמשת להרשמה ראשונית בלבד, האישור הקיים/מותקן משמש לחידוש אישור.
• הטלפון אינו מסיר את אישור ההתקן הישן עד שהוא מאחזר את החדש.
• אם חידוש האישור נכשל מכיוון שתוקפו של אישור המכשיר או רשות אישורים פגה, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, מסך קלט סיסמה מוקפץ במסך הטלפון והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

• טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

• שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

• החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

• הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

• הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

    למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

• הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
  • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
• (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

  לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.

  לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחלה עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

  • מדיניות > תנאים > תנאי הספרייה

  • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1