בנוסף לרישום אישור SCEP על-ידי התצורות הידניות בדף האינטרנט של הטלפון, באפשרותך גם להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. אפשרות DHCP 43 מוגדרת מראש עם פרמטרי SCEP, מאוחר יותר הטלפון יכול להביא את הפרמטרים משרת DHCP כדי לבצע את רישום אישור SCEP.

כדי לרשום אישור SCEP על-ידי קביעת התצורה של פרמטרי SCEP באפשרות DHCP 43, בצע את הפעולות הבאות:

1. הכן סביבת SCEP.

   לקבלת מידע אודות הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP.

2. הגדר DHCP אפשרות 43 (מוגדר ב - 8.4 מידע ספציפי לספק, RFC 2132).

   אפשרויות משנה (10–15) שמורות לשיטה:

   פרמטר בדף האינטרנט של הטלפון	אפשרות משנה	סוג	אורך (בתים)	חובה
   מצב FIPS	10	בוליאני	1	לא*
   שרת	11	מחרוזת	208 - אורך (סיסמת אתגר)	כן
   שורש CA טביעת אצבע	12	בינארי	20 או 32	כן
   סיסמת אתגר	13	מחרוזת	208 - אורך (שרת)	לא*
   הפעל אימות 802.1X	14	בוליאני	1	לא
   בחירת אישור	15	8 סיביות לא חתומות	1	לא

   בעת שימוש באפשרות DHCP 43, שים לב למאפיינים הבאים של השיטה:

   • אפשרויות משנה (10-15) שמורות לאישור התקן מותאם אישית (CDC).
   • האורך המרבי של אפשרות 43 DHCP הוא 255 בתים.
   • האורך המרבי של Server + Challenge Password יהיה קטן מ-208 בתים.
   • הערך של מצב FIPS יהיה עקבי עם תצורת הקצאת הקליטה. אחרת, הטלפון לא יצליח לאחזר את האישור שהותקן קודם לכן לאחר העלייה לאונייה. במיוחד
     • אם הטלפון יירשם בסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את הפרמטר מצב FIPS באפשרות 43 DHCP. כברירת מחדל, מצב FIPS מושבת.
     • אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות 43 DHCP. ראה הפעלת מצב FIPS לקבלת פרטים.
   • הסיסמה באפשרות 43 היא בטקסט ברור.

     אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI לצורך ההרשמה הראשונית וחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת רק להרשמה הראשונית, והאישור המותקן ישמש לחידוש האישור.

   • הפעלת אימות 802.1X ובחירת אישור משמשים רק עבור טלפונים ברשת קווית.
   • DHCP אפשרות 60 (מזהה מחלקת ספק) משמשת לזיהוי דגם המכשיר.

   הטבלה הבאה מספקת דוגמה לאפשרות 43 DHCP (אפשרויות משנה 10-15):

   אפשרות משנה עשרונית/הקסדצימאלית	אורך ערך (בתים) עשרוני/הקסדצימלי	ערך	ערך הקסדצימלי
   10/0א	1/01	1 (0: מושבת; 1: מופעל)	01
   11/0ב	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0ג	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0ד	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0ה	1/01	1 (0: לא; 1: כן)	01
   15/0F	1/01	1 (0: ייצור מותקן; 1: מותאם אישית מותקן)	01

   סיכום ערכי הפרמטרים:

   • מצב FIPS = מופעל

   • שרת = http://10.79.57.91

   • שורש CA טביעת אצבע = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • סיסמת אתגר = D233CCF9B9952A15

   • הפעל אימות 802.1X = כן

   • אישור בחר = מותקן מותאם אישית

   התחביר של הערך ההקסדצימלי הסופי הוא: {<suboption><length><value>}...

   על פי ערכי הפרמטרים לעיל, ערך ההקסדצימלי הסופי הוא כדלקמן:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. הגדר DHCP אפשרות 43 בשרת DHCP.
   שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב-Cisco Network Register.
   1. הוסף DHCP הגדרת אפשרויות.

      מחרוזת אפשרויות ספק היא שם הדגם של IP טלפונים. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.

   2. הוסף את אפשרות DHCP 43 ואת אפשרויות המשנה לערכת הגדרות האפשרויות DHCP.

      דוגמה:

      

   3. הוסף את אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:

      דוגמה:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. אמת את ההגדרות. באפשרותך להשתמש ב- Wireshark כדי ללכוד מעקב אחר תעבורת הרשת בין הטלפון לשירות.
4. בצע איפוס להגדרות יצרן עבור הטלפון.

   לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע CA בסיס וסיסמת אתגר ימולאו באופן אוטומטי. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך אישור> מותאם אישית בדף האינטרנט של ניהול הטלפון.

   כדי לבדוק את פרטי האישור המותקן, לחץ על תצוגה במקטע אישורים קיימים.

   כדי לבדוק את מצב התקנת האישור, בחר מצב אישור > מותאם אישית. מצב הורדה 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, מצב ההורדה יכול להציג את סיבת הבעיה למטרות פתרון בעיות.

   אם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה במסך הטלפון.
5. (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.
   לאחר שתלחץ על הכפתור, פעולת ההסרה תתחיל באופן מיידי ללא אישור.

תהליך SCEP יכול לרענן את אישור ההתקן באופן אוטומטי.

• הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
• אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן להרשמה ראשונית והן לחידוש אישור. אם סיסמת האתגר מוגדרת, היא משמשת להרשמה ראשונית בלבד, האישור הקיים/מותקן משמש לחידוש אישור.
• הטלפון אינו מסיר את אישור ההתקן הישן עד שהוא מאחזר את החדש.
• אם חידוש האישור נכשל מכיוון שתוקפו של אישור המכשיר או רשות אישורים פגה, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, מסך קלט סיסמה מוקפץ במסך הטלפון והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.

טלפונים IP של Cisco תומכים באימות 802.1X.

טלפונים של Cisco IP ומתגי Cisco Catalyst משתמשים באופן מסורתי ב-Cisco Discovery Protocol (CDP) כדי לזהות זה את זה ולקבוע פרמטרים כגון הקצאת VLAN ודרישות הספק מוטבעות. CDP אינו מזהה תחנות עבודה מחוברות מקומיות. טלפון Cisco IP מספק מנגנון מעבר EAPOL. מנגנון זה מאפשר לתחנת עבודה המחוברת לטלפון Cisco IP להעביר הודעות EAPOL למאמת 802.1X במתג LAN. מנגנון המעבר מבטיח שטלפון ה-IP לא יפעל כמתג LAN לאימות נקודת קצה נתונים לפני הגישה לרשת.

טלפון Cisco IP מספק בנוסף מנגנון התנתקות של פרוקסי EAPOL. אם המחשב המחובר המקומי מתנתק מטלפון ה-IP, מתג ה-LAN לא רואה את הקישור הפיזי נכשל, מכיוון שהקישור בין מתג ה-LAN לטלפון ה-IP נשמר. כדי להימנע מלפגוע בשלמות הרשת, טלפון ה-IP שולח הודעת EAPOL-Logoff למתג מטעם המחשב במורד הזרם, המפעיל את מתג ה-LAN לנקות את ערך האימות של המחשב במורד הזרם.

דרושים מספר רכיבים לתמיכה באימות 802.1X:

• טלפון Cisco IP: הטלפון יוזם את הבקשה לגישה לרשת. טלפון Cisco IP כולל מבקש 802.1X. מבקש זה מאפשר למנהל מערכת רשת לשלוט בקישוריות של טלפונים IP ליציאות מתג LAN. מהדורת הגרסה הנוכחית מבקש 802.1X של הטלפון משתמש באפשרויות EAP-FAST ו-EAP-TLS לאימות רשת.

• שרת אימות: שרת האימות והמתג חייבים להיות מוגדרים שניהם עם סוד משותף שמאמת את הטלפון.

• החלף: המתג חייב לתמוך ב-802.1X, כך שהוא יכול לשמש כמאמת ולהעביר את ההודעות בין הטלפון לשרת האימות. לאחר השלמת ההחלפה, המתג מעניק או דוחה את גישת הטלפון לרשת.

עליך לבצע את הפעולות הבאות כדי להגדיר את התצורה של 802.1X.

• הגדר את הרכיבים האחרים לפני שתפעיל את אימות 802.1X בטלפון.

• הגדר את יציאת המחשב: תקן 802.1X אינו מתייחס לרשתות VLAN ולכן ממליץ שרק התקן בודד יעבור אימות ליציאת מתג ספציפית. עם זאת, מתגים מסוימים תומכים באימות מרובה תחומים. תצורת המתג קובעת אם באפשרותך לחבר מחשב ליציאת המחשב של הטלפון.

  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להפעיל את יציאת המחשב ולחבר אליו מחשב. במקרה זה, טלפון Cisco IP תומך בפרוקסי EAPOEAPOL-Logoff כדי לנטר את חילופי האימות בין המתג למחשב המחובר.

    למידע נוסף על תמיכה ב-IEEE 802.1X על מתגי Cisco Catalyst, עיין במדריכי תצורת מתג Cisco Catalyst בכתובת:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • נָכֶה: אם המתג אינו תומך במספר התקנים תואמי 802.1X באותה יציאה, עליך להשבית את יציאת המחשב כאשר אימות 802.1X מופעל. אם לא תבטל יציאה זו ולאחר מכן תנסה לחבר אליה מחשב, המתג מונע גישה לרשת הן לטלפון והן למחשב.

• הגדר את Voice VLAN: מכיוון שתקן 802.1X אינו מתייחס לרשתות VLAN, עליך להגדיר הגדרה זו בהתבסס על תמיכת המתגים.
  • מופעל: אם אתה משתמש במתג שתומך באימות רב-דומיינים, תוכל להמשיך בו כדי להשתמש ב-VLAN הקולי.
  • נָכֶה: אם המתג אינו תומך באימות רב-דומיינים, השבת את ה-VLAN הקול ושקול להקצות את היציאה ל-VLAN המקורי.
• (עבור טלפון שולחני Cisco מסדרת 9800 בלבד)

  לטלפון השולחני של Cisco מסדרת 9800 יש קידומת שונה ב-PID מזו של טלפונים אחרים של Cisco. כדי לאפשר לטלפון לעבור אימות 802.1X, הגדר את הרדיוס· פרמטר שם משתמש שיכלול את טלפון Cisco Desk Phone 9800 Series.

  לדוגמה, PID של טלפון 9841 הוא DP-9841; באפשרותך להגדיר רדיוס· שם משתמש להתחיל עם DP או מכיל DP. ניתן להגדיר אותו בשני הסעיפים הבאים:

  • מדיניות > תנאים > תנאי הספרייה

  • מדיניות > ערכות מדיניות> מדיניות הרשאה> כלל הרשאה 1

מכיוון שכל התקני ה-WLAN שנמצאים בטווח יכולים לקבל את כל תעבורת ה-WLAN האחרת, אבטחת תקשורת קולית היא קריטית ב-WLAN. כדי להבטיח שהפורצים לא יבצעו מניפולציות ולא יירטו תעבורה קולית, ארכיטקטורת Cisco SAFE Security תומכת בטלפון. למידע נוסף על אבטחה ברשתות, ראה http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

פתרון הטלפוניה IP האלחוטית של Cisco מספק אבטחת רשת אלחוטית המונעת כניסות לא מורשות ותקשורת בסכנה באמצעות שיטות האימות הבאות שבהן תומך הטלפון:

• פתח את האימות: כל מכשיר אלחוטי יכול לבקש אימות במערכת פתוחה. ה-AP שמקבל את הבקשה רשאי להעניק אימות לכל מבקש או רק למבקשים שנמצאים ברשימת משתמשים. ייתכן שהתקשורת בין ההתקן האלחוטי לנקודת הגישה (AP) אינה מוצפנת.

• Extensible Authentication Protocol-Flexible Authentication באמצעות אימות מנהור מאובטח (EAP-FAST): ארכיטקטורת אבטחה זו של שרת-לקוח מצפינה טרנזקציות EAP בתוך מנהרת אבטחת רמת תעבורה (TLS) בין נקודת הגישה לשרת ה-RADIUS, כגון Identity Services Engine (ISE).

  מנהרת TLS משתמשת באישורי גישה מוגנת (PAC) לאימות בין הלקוח (טלפון) לשרת RADIUS. השרת שולח מזהה רשות (AID) ללקוח (טלפון), אשר בתורו בוחר את ה-PAC המתאים. הלקוח (טלפון) מחזיר PAC-Opaque לשרת RADIUS. השרת מפענח את ה-PAC עם המפתח הראשי. שתי נקודות הקצה מכילות כעת את מפתח PAC ונוצרת מנהרת TLS. EAP-FAST תומך בהקצאת PAC אוטומטית, אך עליך להפעיל אותה בשרת RADIUS.

  ב- ISE, כברירת מחדל, תוקפו של PAC פג בעוד שבוע. אם לטלפון יש PAC שפג תוקפו, האימות עם שרת RADIUS נמשך זמן רב יותר בזמן שהטלפון מקבל PAC חדש. כדי למנוע עיכובים בהקצאת PAC, הגדר את תקופת התפוגה של PAC ל-90 יום או יותר בשרת ISE או RADIUS.

• אימות פרוטוקול הרחבה-שכבת תחבורה (EAP-TLS) אימות: EAP-TLS דורש אישור לקוח עבור אימות וגישה לרשת. עבור EAP-TLS אלחוטי, ניתן MIC אישור הלקוח, אישור LSC או אישור המותקן על-ידי המשתמש.

• Protected Extensible Authentication Protocol (PEAP): סכימת אימות הדדי מבוססת סיסמאות קניינית של Cisco בין הלקוח (טלפון) לשרת RADIUS. הטלפון יכול להשתמש ב-PEAP לצורך אימות עם הרשת האלחוטית. שתי שיטות אימות PEAP-MSCHAPV2 ו-PEAP-GTC נתמכות.

• מפתח טרום-משותף (PSK): הטלפון תומך בתבנית ASCII. עליך להשתמש בתבנית זו בעת הגדרת מפתח משותף מראש של WPA/WPA2/SAE:

  ASCII: מחרוזת תווים ASCII באורך של 8 עד 63 תווים (0-9, אותיות קטנות ואותיות גדולות AZ, ותווים מיוחדים)

  דוגמה: GREG123567@9ZX&W

סכימות האימות הבאות משתמשות בשרת RADIUS לניהול מפתחות אימות:

• WPA/WPA2/WPA3: משתמש במידע שרת RADIUS ליצירת מפתחות ייחודיים לאימות. מכיוון שמפתחות אלה נוצרים בשרת ה-RADIUS המרכזי, WPA2/WPA3 מספק יותר אבטחה מאשר מפתחות משותפים מראש של WPA המאוחסנים ב-AP ובטלפון.

• נדידה מאובטחת מהירה: משתמש בשרת RADIUS ובמידע של שרת תחום אלחוטי (WDS) לניהול ואימות מפתחות. ה-WDS יוצר מטמון של אישורי אבטחה עבור התקני לקוח התומכים ב-FT לצורך אימות מחדש מהיר ומאובטח. טלפון שולחני Cisco 9861 ו- 9871 וטלפון Cisco Video Phone 8875 תומכים ב- 802.11r (FT). הן דרך האוויר והן מעל DS נתמכות כדי לאפשר נדידה מהירה ומאובטחת. אבל אנו ממליצים בחום להשתמש בשיטת 802.11r (FT) מעל האוויר.

עם WPA/WPA2/WPA3, מפתחות הצפנה אינם מוזנים בטלפון, אלא נגזרים באופן אוטומטי בין נקודת הגישה לטלפון. אבל יש להזין את שם המשתמש והסיסמה של EAP המשמשים לאימות בכל טלפון.

כדי להבטיח שתעבורת הקול מאובטחת, הטלפון תומך ב-TKIP וב-AES להצפנה. כאשר מנגנונים אלה משמשים להצפנה, הן מנות SIP האיתות והן מנות פרוטוקול תעבורה בזמן אמת (RTP) קוליות מוצפנות בין נקודת הגישה והטלפון.

TKIP

WPA משתמש בהצפנת TKIP הכוללת מספר שיפורים במהלך WEP. TKIP מספקת הצפנת מפתח לכל מנה ווקטורי אתחול ארוכים יותר (IVs) המחזקים את ההצפנה. בנוסף, בדיקת תקינות ההודעה (MIC) מבטיחה שמנות מוצפנות אינן משתנות. TKIP מסיר את יכולת החיזוי של WEP המסייעת לפולשים לפענח את מפתח ה-WEP.

AES

שיטת הצפנה המשמשת לאימות WPA2/WPA3. תקן לאומי זה להצפנה משתמש באלגוריתם סימטרי בעל אותו מפתח להצפנה ולפענוח. AES משתמש בהצפנת Chipher Blocking Chain (CBC) בגודל 128 סיביות, התומך בגדלים של מפתחות של 128 סיביות, 192 סיביות ו-256 סיביות, כמינימום. הטלפון תומך בגודל מפתח של 256 סיביות.

סכימות אימות והצפנה מוגדרות בתוך ה-LAN האלחוטי. רשתות VLAN מוגדרות ברשת וב-APs ומציינים שילובים שונים של אימות והצפנה. SSID משויך ל-VLAN ולסכימת האימות וההצפנה המסוימת. כדי שהתקני לקוח אלחוטיים יוכלו לבצע אימות מוצלח, עליך להגדיר את אותם מזהי SSID עם סכימות האימות וההצפנה שלהם בנקודות הגישה ובטלפון.

סכימות אימות מסוימות דורשות סוגים ספציפיים של הצפנה.

סכימות האימות וההצפנה בטבלה הבאה מציגות את אפשרויות תצורת הרשת עבור הטלפון המתאים לתצורת נקודת גישה.