Cisco IP telefonbiztonság

Az SCEP-tanúsítványnak a telefon weblapján található manuális konfigurációkkal történő igénylése mellett a 43-as DHCP lehetőséggel is feltöltheti a paramétereket egy DHCP kiszolgálóról. A 43-as DHCP előre konfigurálva van az SCEP-paraméterekkel, később a telefon lekérheti a paramétereket a DHCP-kiszolgálóról az SCEP-tanúsítvány igényléséhez.

SCEP-tanúsítvány igényléséhez az SCEP-paraméterek konfigurálásával a 43 DHCP beállításban tegye a következőket:

1. SCEP-környezet előkészítése.

   Az SCEP-környezet beállításával kapcsolatos információkért tekintse meg az SCEP-kiszolgáló dokumentációját.

2. Állítsa be DHCP 43-as opciót (meghatározását lásd: 8.4 Szállítóspecifikus információk, RFC 2132).

   A (10–15) albeállítások a metódus számára vannak fenntartva:

   Paraméter a telefon weboldalán	Alopció	Típus	Hossz (bájt)	Kötelező
   FIPS mód	10	Logikai	1	Nem*
   Szerver	11	string	208 - hossz (Challenge Password)	Van
   Legfelső szintű hitelesítésszolgáltató ujjlenyomata	12	bináris	20 vagy 32	Van
   Kihívás jelszó	13	string	208 - hossz (szerver)	Nem*
   802.1X hitelesítés engedélyezése	14	Logikai	1	Nem
   Tanúsítvány kiválasztása	15	Aláíratlan 8 bites	1	Nem

   Ha a 43 DHCP opciót használja, figyelje meg a módszer következő jellemzőit:

   • A (10–15) albeállítások az egyéni eszköztanúsítvány (CDC) számára vannak fenntartva.
   • A 43 DHCP as opció maximális hossza 255 bájt.
   • A Server + Challenge Password maximális hossza nem haladhatja meg a 208 bájtot.
   • A FIPS-mód értékének konzisztensnek kell lennie a bevezetési kiépítési konfigurációval. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a bevezetés után. Kifejezetten
     • Ha a telefon olyan környezetben lesz regisztrálva, ahol a FIPS-mód le van tiltva, nem kell konfigurálnia a FIPS-mód paramétert DHCP 43-as beállításban. Alapértelmezés szerint a FIPS mód le van tiltva.
     • Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van a FIPS mód, engedélyeznie kell a FIPS módot DHCP 43-as opcióban. A részletekért lásd: FIPS-mód engedélyezése.
   • A 43. opcióban szereplő jelszó tiszta szöveg.

     Ha a kérési jelszó üres, a telefon az MIC/SUDI protokollt használja a kezdeti igényléshez és a tanúsítvány megújításához. Ha a kérdésjelszó konfigurálva van, a rendszer csak a kezdeti igényléshez használja, és a telepített tanúsítványt fogja használni a tanúsítvány megújításához.

   • A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózatban lévő telefonok esetén használatos.
   • DHCP 60-as opció (Vendor Class Identifier) az eszközmodell azonosítására szolgál.

   Az alábbi táblázat példát mutat be DHCP 43. lehetőségre (10–15. allehetőség):

   Alopció tizedesjegy/hexadecimális	Érték hossza (bájt) decimális/hexadecimális	Érték	Hex érték
   10/0a	1/01	1 (0: Letiltva; 1: Engedélyezve)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nem; 1: Igen)	01
   15/0F	1/01	1 (0: Gyártó telepítve; 1: Egyéni telepítés)	01

   A paraméterértékek összegzése:

   • FIPS mód = Engedélyezve

   • Kiszolgáló = http://10.79.57.91

   • Legfelső szintű hitelesítésszolgáltató ujjlenyomata = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Kihívás jelszó = D233CCF9B9952A15

   • 802.1X hitelesítés engedélyezése = Igen

   • Tanúsítvány kiválasztása = Egyéni telepítve

   A végső hexadecimális érték szintaxisa: {<suboption><length><value>}...

   A fenti paraméterértékek szerint a végső hexadecimális érték a következő:

   0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurálja DHCP 43-as beállítást egy DHCP-kiszolgálón.
   Ez a lépés egy példát mutat be a Cisco Network Register 43-as opciójának DHCP konfigurációjára.
   1. Adja hozzá DHCP beállításdefiníciós készletet.

      A Vendor Option String a IP telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.

   2. Adja hozzá a DHCP 43. lehetőséget és alopcióit a DHCP beállításdefiníciós készletéhez.

      Példa:

      

   3. Adja hozzá a 43. lehetőséget a DHCP házirendhez, és állítsa be az értéket az alábbiak szerint:

      Példa:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
4. Végezze el a gyári beállítások visszaállítását a telefonon.

   A telefon alaphelyzetbe állítása után a rendszer automatikusan kitölti a Kiszolgáló , a Legfelső szintű hitelesítésszolgáltató ujjlenyomata ésa Kihívás jelszava paramétereket . Ezek a paraméterek a telefonfelügyeleti weblap Certificate>Custom szakaszának SCEP-konfiguráció 1 . szakaszában találhatók.

   A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.

   A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a Tanúsítvány > Egyéni tanúsítvány állapota lehetőséget. A Letöltés állapota 1 a legfrissebb eredményt mutatja. Ha bármilyen probléma merül fel a tanúsítvány igénylése során, a letöltési állapot hibaelhárítási célból megjelenítheti a probléma okát.

   Ha a kérő jelszó hitelesítése sikertelen, a rendszer felkéri a felhasználókat, hogy adják meg a jelszót a telefon képernyőjén.
5. (Nem kötelező): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.
   Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.

Az eszköztanúsítvány automatikusan frissíthető az SCEP-folyamattal.

• A telefon 4 óránként ellenőrzi, hogy a tanúsítvány lejár-e 15 nap múlva. Ebben az esetben a telefon automatikusan elindítja a tanúsítványmegújítási folyamatot.
• Ha a kérdés jelszava üres, a telefon az MIC/SUDI protokollt használja mind a kezdeti igényléshez, mind a tanúsítvány megújításához. Ha a kérési jelszó konfigurálva van, akkor csak a kezdeti igényléshez, a meglévő/telepített tanúsítvány pedig a tanúsítvány megújításához használatos.
• A telefon nem távolítja el a régi eszköztanúsítványt, amíg le nem kéri az újat.
• Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Időközben, ha a kérő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a rendszer felkéri a felhasználókat, hogy adják meg a kérdés jelszavát a telefonon.

A Cisco IP Phone támogatja a 802.1X hitelesítést.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.

A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.

A 802.1X hitelesítés támogatása több összetevőt is igényel:

• Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

• Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.

• Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

• A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.

• A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.

  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.

    Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.

• Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
  • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
  • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
• (Csak 9800-as sorozatú Cisco asztali telefon esetén)

  A 9800-as sorozatú Cisco asztali telefonok PID előtagja eltér a többi Cisco telefonétól. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon felvételéhez.

  Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy DP-t tartalmaz. A következő szakaszokban állíthatja be:

  • Házirend > Feltételek > Könyvtári feltételek

  • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1