Az SCEP-tanúsítványnak a telefon weblapján található manuális konfigurációkkal történő igénylése mellett a 43-as DHCP lehetőséggel is feltöltheti a paramétereket egy DHCP kiszolgálóról. A 43-as DHCP előre konfigurálva van az SCEP-paraméterekkel, később a telefon lekérheti a paramétereket a DHCP-kiszolgálóról az SCEP-tanúsítvány igényléséhez.

SCEP-tanúsítvány igényléséhez az SCEP-paraméterek konfigurálásával a 43 DHCP beállításban tegye a következőket:

1. SCEP-környezet előkészítése.

   Az SCEP-környezet beállításával kapcsolatos információkért tekintse meg az SCEP-kiszolgáló dokumentációját.

2. Állítsa be DHCP 43-as opciót (meghatározását lásd: 8.4 Szállítóspecifikus információk, RFC 2132).

   A (10–15) albeállítások a metódus számára vannak fenntartva:

   Paraméter a telefon weboldalán	Alopció	Típus	Hossz (bájt)	Kötelező
   FIPS mód	10	Logikai	1	Nem*
   Szerver	11	string	208 - hossz (Challenge Password)	Van
   Legfelső szintű hitelesítésszolgáltató ujjlenyomata	12	bináris	20 vagy 32	Van
   Kihívás jelszó	13	string	208 - hossz (szerver)	Nem*
   802.1X hitelesítés engedélyezése	14	Logikai	1	Nem
   Tanúsítvány kiválasztása	15	Aláíratlan 8 bites	1	Nem

   Ha a 43 DHCP opciót használja, figyelje meg a módszer következő jellemzőit:

   • A (10–15) albeállítások az egyéni eszköztanúsítvány (CDC) számára vannak fenntartva.
   • A 43 DHCP as opció maximális hossza 255 bájt.
   • A Server + Challenge Password maximális hossza nem haladhatja meg a 208 bájtot.
   • A FIPS-mód értékének konzisztensnek kell lennie a bevezetési kiépítési konfigurációval. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a bevezetés után. Kifejezetten
     • Ha a telefon olyan környezetben lesz regisztrálva, ahol a FIPS-mód le van tiltva, nem kell konfigurálnia a FIPS-mód paramétert DHCP 43-as beállításban. Alapértelmezés szerint a FIPS mód le van tiltva.
     • Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van a FIPS mód, engedélyeznie kell a FIPS módot DHCP 43-as opcióban. A részletekért lásd: FIPS-mód engedélyezése.
   • A 43. opcióban szereplő jelszó tiszta szöveg.

     Ha a kérési jelszó üres, a telefon az MIC/SUDI protokollt használja a kezdeti igényléshez és a tanúsítvány megújításához. Ha a kérdésjelszó konfigurálva van, a rendszer csak a kezdeti igényléshez használja, és a telepített tanúsítványt fogja használni a tanúsítvány megújításához.

   • A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózatban lévő telefonok esetén használatos.
   • DHCP 60-as opció (Vendor Class Identifier) az eszközmodell azonosítására szolgál.

   Az alábbi táblázat példát mutat be DHCP 43. lehetőségre (10–15. allehetőség):

   Alopció tizedesjegy/hexadecimális	Érték hossza (bájt) decimális/hexadecimális	Érték	Hex érték
   10/0a	1/01	1 (0: Letiltva; 1: Engedélyezve)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nem; 1: Igen)	01
   15/0F	1/01	1 (0: Gyártó telepítve; 1: Egyéni telepítés)	01

   A paraméterértékek összegzése:

   • FIPS mód = Engedélyezve

   • Kiszolgáló = http://10.79.57.91

   • Legfelső szintű hitelesítésszolgáltató ujjlenyomata = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Kihívás jelszó = D233CCF9B9952A15

   • 802.1X hitelesítés engedélyezése = Igen

   • Tanúsítvány kiválasztása = Egyéni telepítve

   A végső hexadecimális érték szintaxisa: {<suboption><length><value>}...

   A fenti paraméterértékek szerint a végső hexadecimális érték a következő:

   0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurálja DHCP 43-as beállítást egy DHCP-kiszolgálón.
   Ez a lépés egy példát mutat be a Cisco Network Register 43-as opciójának DHCP konfigurációjára.
   1. Adja hozzá DHCP beállításdefiníciós készletet.

      A Vendor Option String a IP telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.

   2. Adja hozzá a DHCP 43. lehetőséget és alopcióit a DHCP beállításdefiníciós készletéhez.

      Példa:

      

   3. Adja hozzá a 43. lehetőséget a DHCP házirendhez, és állítsa be az értéket az alábbiak szerint:

      Példa:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
4. Végezze el a gyári beállítások visszaállítását a telefonon.

   A telefon alaphelyzetbe állítása után a rendszer automatikusan kitölti a Kiszolgáló , a Legfelső szintű hitelesítésszolgáltató ujjlenyomata ésa Kihívás jelszava paramétereket . Ezek a paraméterek a telefonfelügyeleti weblap Certificate>Custom szakaszának SCEP-konfiguráció 1 . szakaszában találhatók.

   A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.

   A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a Tanúsítvány > Egyéni tanúsítvány állapota lehetőséget. A Letöltés állapota 1 a legfrissebb eredményt mutatja. Ha bármilyen probléma merül fel a tanúsítvány igénylése során, a letöltési állapot hibaelhárítási célból megjelenítheti a probléma okát.

   Ha a kérő jelszó hitelesítése sikertelen, a rendszer felkéri a felhasználókat, hogy adják meg a jelszót a telefon képernyőjén.
5. (Nem kötelező): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.
   Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.

Az eszköztanúsítvány automatikusan frissíthető az SCEP-folyamattal.

• A telefon 4 óránként ellenőrzi, hogy a tanúsítvány lejár-e 15 nap múlva. Ebben az esetben a telefon automatikusan elindítja a tanúsítványmegújítási folyamatot.
• Ha a kérdés jelszava üres, a telefon az MIC/SUDI protokollt használja mind a kezdeti igényléshez, mind a tanúsítvány megújításához. Ha a kérési jelszó konfigurálva van, akkor csak a kezdeti igényléshez, a meglévő/telepített tanúsítvány pedig a tanúsítvány megújításához használatos.
• A telefon nem távolítja el a régi eszköztanúsítványt, amíg le nem kéri az újat.
• Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Időközben, ha a kérő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a rendszer felkéri a felhasználókat, hogy adják meg a kérdés jelszavát a telefonon.

A Cisco IP Phone támogatja a 802.1X hitelesítést.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.

A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.

A 802.1X hitelesítés támogatása több összetevőt is igényel:

• Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

• Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.

• Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

• A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.

• A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.

  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.

    Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.

• Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
  • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
• (Csak 9800-as sorozatú Cisco asztali telefon esetén)

  A 9800-as sorozatú Cisco asztali telefonok PID előtagja eltér a többi Cisco telefonétól. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon felvételéhez.

  Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy DP-t tartalmaz. A következő szakaszokban állíthatja be:

  • Házirend > Feltételek > Könyvtári feltételek

  • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálhassák és ne foghassák el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózati biztonsággal kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza az illetéktelen bejelentkezéseket és a kommunikáció sérülését a telefon által támogatott alábbi hitelesítési módszerek használatával:

• Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.

• Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra titkosítja a EAP tranzakciókat az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagútban, például az Identity Services Engine (ISE) motorban.

  A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

  Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.

• Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon PEAP használhatja a vezeték nélküli hálózattal való hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

• Előmegosztott kulcs (PSK): A telefon ASCII formátumot támogat. Ezt a formátumot kell használnia az WPA/WPA2/SAE előmegosztott kulcs beállításakor:

  ASCII: egy ASCII-karakterből álló karakterlánc, amely 8–63 karakter hosszú (0–9, kis és nagy A-Z, ill. speciális karakterek)

  Példa: GREG123567@9ZX&W

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

• WPA/WPA2/WPA3: A RADIUS-kiszolgáló adatai alapján egyedi kulcsokat hoz létre a hitelesítéshez. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

• Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. Mind a vezeték nélküli, mind a DS támogatott a gyors, biztonságos barangolás érdekében. Azonban nyomatékosan javasoljuk, hogy használja a 802.11r (FT) Over Air módszert.

A WPA/WPA2/WPA3 esetében a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A hangforgalom biztonsága érdekében a telefon támogatja a TKIP és a AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, mind a jelző SIP-csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.

TKIP

A WPA TKIP titkosítást használ, amely számos fejlesztést tartalmaz a WEP képest. A TKIP a titkosítást megerősítő, csomagonkénti kulcsos titkosítást és hosszabb inicializálási vektorokat (IV) tartalmaz. Emellett az üzenet épségének ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok ne módosuljanak. A TKIP megszünteti a WEP kiszámíthatóságát, amely segíthet a behatolóknak a WEP-kulcs megfejtésében.

AES

A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosításhoz használt nemzeti szabvány szimmetrikus algoritmust alkalmaz, amely azonos kulcsot használ a titkosításhoz és a visszafejtéshez. Az AES 128 bites cipher block-chain (CBC) titkosítást használ, amely minimális kulcsméretként támogatja a 128, 192 és 256 bites méretet is. A telefon 256 bites kulcsméretet támogat.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

Az alábbi táblázatban látható hitelesítési és titkosítási sémák a hozzáférési pont beállításának megfelelő telefon hálózati konfigurációs beállításait mutatják be.