Cisco IP phone security

Oltre alla registrazione del certificato SCEP mediante le configurazioni manuali nella pagina Web del telefono, è possibile utilizzare anche l'opzione DHCP 43 per popolare i parametri da un server DHCP. L'opzione DHCP 43 è preconfigurata con i parametri SCEP, successivamente il telefono può recuperare i parametri dal server DHCP per eseguire la registrazione del certificato SCEP.

Per registrare un certificato SCEP configurando i parametri SCEP nell'opzione 43 DHCP, effettuare le seguenti operazioni:

1. Preparare un ambiente SCEP.

   Per informazioni sulla configurazione dell'ambiente SCEP, consultare la documentazione del server SCEP.

2. Impostare DHCP opzione 43 (definita in 8.4 Informazioni specifiche del fornitore, RFC 2132).

   Le sottoopzioni (10-15) sono riservate al metodo:

   Parametro nella pagina web del telefono	Opzione secondaria	Tipo	Lunghezza (byte)	Obbligatorio
   Modalità FIPS	10	booleano	1	No*
   Server	11	stringa	208 - lunghezza (Password di verifica)	Sì
   Impronta digitale CA radice	12	binario	20 o 32	Sì
   Password di verifica	13	stringa	208 - lunghezza (Server)	No*
   Abilitazione dell'autenticazione 802.1X	14	booleano	1	No
   Seleziona certificato	15	Senza segno a 8 bit	1	No

   Quando si utilizza l'opzione DHCP 43, notare le seguenti caratteristiche del metodo:

   • Le opzioni secondarie (10-15) sono riservate al certificato dispositivo personalizzato (CDC, Custom Device Certificate).
   • La lunghezza massima dell DHCP opzione 43 è 255 byte.
   • La lunghezza massima di Server + Challenge Password deve essere inferiore a 208 byte.
   • Il valore della modalità FIPS deve essere coerente con la configurazione di provisioning dell'onboarding. In caso contrario, il telefono non riesce a recuperare il certificato installato in precedenza dopo l'onboarding. Specificamente
     • Se il telefono verrà registrato in un ambiente in cui la modalità FIPS è disabilitata, non è necessario configurare il parametro Modalità FIPS in DHCP opzione 43. Per impostazione predefinita, la modalità FIPS è disabilitata.
     • Se il telefono verrà registrato in un ambiente in cui è abilitata la modalità FIPS, è necessario abilitare la modalità FIPS in DHCP opzione 43. Per informazioni dettagliate, vedere Abilitazione della modalità FIPS.
   • La password nell'opzione 43 è in testo non crittografato.

     Se la password di verifica è vuota, il telefono utilizza MIC/SUDI per l'iscrizione iniziale e il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale e il certificato installato verrà utilizzato per il rinnovo del certificato.

   • Abilita autenticazione 802.1X e Selezione certificato vengono utilizzati solo per i telefoni in rete cablata.
   • DHCP'opzione 60 (Vendor Class Identifier) viene utilizzata per identificare il modello del dispositivo.

   La tabella seguente fornisce un esempio dell DHCP opzione 43 (sottoopzioni 10-15):

   Sottoopzione decimale/esadecimale	Lunghezza valore (byte) decimale/esadecimale	Valore	Valore esadecimale
   10/0a	1/01	1 (0: disabilitato; 1: abilitato)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: No; 1: Sì)	01
   15/0f	1/01	1 (0: Produzione installata; 1: Custom installata)	01

   Riepilogo dei valori dei parametri:

   • Modalità FIPS = Abilitata

   • Server = http://10.79.57.91

   • Impronta digitale CA radice = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Password di verifica = D233CCF9B9952A15

   • Abilita autenticazione 802.1X = Sì

   • Certificate Select = Custom installato

   La sintassi del valore esadecimale finale è: {<suboption><length><value>}...

   In base ai valori dei parametri precedenti, il valore esadecimale finale è il seguente:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Configurare DHCP opzione 43 su un server DHCP.
   Questo passaggio fornisce un esempio delle configurazioni dell'opzione 43 DHCP su Cisco Network Register.
   1. Aggiungere DHCP set di definizioni di opzioni.

      La stringa di opzione fornitore è il nome del modello dei telefoni IP. Il valore valido è: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.

   2. Aggiungere l'opzione DHCP 43 e le opzioni secondarie al set di definizioni delle opzioni DHCP.

      Esempio:

      

   3. Aggiungere le opzioni 43 al criterio DHCP e impostare il valore nel modo seguente:

      Esempio:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Verificare le impostazioni. È possibile utilizzare Wireshark per acquisire una traccia del traffico di rete tra il telefono e il servizio.
4. Eseguire un ripristino delle impostazioni di fabbrica per il telefono.

   Dopo il ripristino del telefono, i parametri Server, Root CA Fingerprint e Password di verifica verranno compilati automaticamente. Questi parametri si trovano nella sezione SCEP Configuration 1 da Certificate > Custom nella pagina Web di amministrazione del telefono.

   Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti.

   Per verificare lo stato di installazione del certificato, selezionare Certificato > Stato certificato personalizzato. Lo stato di download 1 mostra il risultato più recente. Se si verifica un problema durante la registrazione del certificato, lo stato del download può mostrare il motivo del problema ai fini della risoluzione dei problemi.

   Se l'autenticazione della password di verifica non riesce, agli utenti verrà richiesto di immettere la password sullo schermo del telefono.
5. (Opzionale): per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti.
   Una volta cliccato sul pulsante, l'operazione di rimozione inizia immediatamente senza conferma.

Il certificato del dispositivo può essere aggiornato automaticamente dal processo SCEP.

• Il telefono controlla se il certificato scadrà tra 15 giorni ogni 4 ore. In tal caso, il telefono avvia automaticamente il processo di rinnovo del certificato.
• Se la password di verifica è vuota, il telefono utilizza MIC/SUDI sia per l'iscrizione iniziale che per il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale, il certificato esistente/installato viene utilizzato per il rinnovo del certificato.
• Il telefono non rimuove il certificato del dispositivo precedente finché non recupera quello nuovo.
• Se il rinnovo del certificato non riesce perché il certificato del dispositivo o la CA scade, il telefono attiva automaticamente la registrazione iniziale. Nel frattempo, se l'autenticazione della password di verifica non riesce, viene visualizzata una schermata di immissione della password sullo schermo del telefono e agli utenti viene richiesto di immettere la password di verifica sul telefono.

Il telefono IP Cisco supporta l'autenticazione 802.1X.

I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea. Il protocollo CDP non identifica le workstation collegate in locale. I telefoni IP Cisco sono dotati di un meccanismo EAPOL pass-through. Questo meccanismo consente alla postazione di lavoro collegata al telefono IP Cisco di trasmettere i messaggi EAPOL all'autenticatore 802.1X sullo switch LAN. Il meccanismo pass-through garantisce che il telefono IP non agisca come switch LAN per l'autenticazione dell'endpoint dei dati prima di accedere alla rete.

I telefoni IP Cisco sono dotati inoltre di un meccanismo di disconnessione EAPOL proxy. Se il PC collegato in locale viene disconnesso dal telefono IP, lo switch LAN non rileva l'errore del collegamento fisico perché il collegamento tra lo switch LAN e il telefono IP viene mantenuto. Per evitare di compromettere l'integrità della rete, il telefono IP invia un messaggio di disconnessione EAPOL allo switch per conto del PC downstream, che attiva lo switch LAN allo scopo di cancellare la voce di autenticazione relativa al PC downstream.

Il supporto dell'autenticazione 802.1X richiede diversi componenti:

• Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.

• Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso che autentica il telefono.

• Switch: lo switch deve supportare 802.1X per poter agire come autenticatore e trasmettere i messaggi tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.

Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.

• Configurare gli altri componenti prima di abilitare l'autenticazione 802.1X sul telefono.

• Configurare la porta del PC: lo standard 802.1X non prende in considerazione le reti VLAN e pertanto è consigliabile autenticare un solo dispositivo su una porta dello switch specifica. Tuttavia, alcuni switch supportano l'autenticazione multidominio. In base alla configurazione dello switch, è possibile o meno collegare un PC alla porta PC del telefono.

  • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile abilitare la porta del PC e connettervi il PC. In questo caso, i telefoni IP Cisco supportano la disconnessione EAPOL del proxy per monitorare gli scambi di autenticazione tra lo switch e il PC collegato.

    Per ulteriori informazioni sul supporto di IEEE 802.1X sugli switch Cisco Catalyst, consultare le guide di configurazione dello switch Cisco Catalyst all'indirizzo:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

  • Disabilitato: se lo switch non supporta più dispositivi conformi allo standard 802.1X sulla stessa porta, è consigliabile disabilitare la porta del PC quando l'autenticazione 802.1X è abilitata. Se questa porta non viene disabilitata e successivamente si tenta di collegarvi un PC, lo switch nega l'accesso alla rete sia al telefono sia al PC.

• Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.
  • Abilitato: se si sta utilizzando uno switch in grado di supportare l'autenticazione multidominio, è possibile continuare a utilizzare la VLAN vocale.
  • Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
• (Solo per Cisco Desk Phone serie 9800)

  Cisco Desk Phone serie 9800 ha un prefisso nel PID diverso da quello degli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Parametro User-Name per includere il Cisco Desk Phone serie 9800.

  Ad esempio, il PID del telefono 9841 è DP-9841; è possibile impostare Radius· Nome utente per iniziare con DP o Contiene DP. È possibile impostarlo in entrambe le sezioni seguenti:

  • Politica > Condizioni > Condizioni della biblioteca

  • Criteri > Set di criteri> Criteri di autorizzazione> Regola di autorizzazione 1