Cisco IP telefoonbeveiliging

Naast aanmelding van het SCEP-certificaat via de handmatige configuraties op de webpagina telefoon, kunt u ook optie DHCP 43 gebruiken om de parameters vanaf een DHCP-server in te vullen. De DHCP optie 43 is vooraf geconfigureerd met de SCEP-parameters. Later kan de telefoon de parameters ophalen van de DHCP-server om de aanmelding voor het SCEP-certificaat uit te voeren.

Als u een SCEP-certificaat wilt aanmelden door de SCEP-parameters te configureren in DHCP optie 43, gaat u als volgt te werk:

1. Bereid een SCEP-omgeving voor.

   Raadpleeg de documentatie bij uw SCEP-server voor informatie over de SCEP-omgeving.

2. Stel DHCP optie 43 in (gedefinieerd in 8.4 Vendor Specific Information, RFC 2132).

   Subsecties (10-15) zijn gereserveerd voor de methode:

   Parameter op webpagina telefoon	Subotion	Type	Lengte (byte)	Verplicht
   FIPS-modus	10	booleaans	1	Nee*
   Server	11	tekenreeks	208 - lengte (wachtwoord challenge)	Ja
   Vingerafdruk van Root CA	12	binair	20 of 32	Ja
   Wachtwoord challenge (password)	13	tekenreeks	208 - lengte (Server)	Nee*
   802.1X-verificatie inschakelen	14	booleaans	1	Nee
   Certificaat selecteren	15	Niet ondertekend, 8-bits	1	Nee

   Wanneer u de DHCP optie 43 gebruikt, moet u de volgende kenmerken van de methode zien:

   • Subcategorieën (10–15) zijn gereserveerd voor CDC (Custom Device Certificate).
   • De maximumlengte van DHCP optie 43 is 255 bytes.
   • De maximumlengte van Server + Challenge-wachtwoord is minder dan 208 bytes.
   • De waarde van de FIPS-modus moet in overeenstemming zijn met de configuratie van de inrichting aan boord. Anders kan de telefoon het eerder geïnstalleerde certificaat niet ophalen na aan boord te hebben gegaan. Specifiek
     • Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is uitgeschakeld, hoeft u de parameter FIPS-modus niet te configureren in DHCP optie 43. De FIPS-modus is standaard uitgeschakeld.
     • Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is ingeschakeld, moet u de FIPS-modus inschakelen in DHCP optie 43. Raadpleeg FIPS-modus inschakelen voor meer informatie.
   • Het wachtwoord in optie 43 wordt in duidelijke tekst weergegeven.

     Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/S ÉÉN VOOR de eerste aanmelding en het vernieuwen van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding en wordt het geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.

   • De optie 802.1X-verificatie en Certificate Select inschakelen worden alleen gebruikt voor telefoons in een bekabeld netwerk.
   • DHCP optie 60 (Vendor Class Identifier) wordt gebruikt om het apparaatmodel te identificeren.

   De volgende tabel bevat een voorbeeld van DHCP optie 43 (subcategorieën 10–15):

   Suboption decimaal/hex	Waarde lengte (byte) decimaal/hex	Waarde	Hex-waarde
   10/0a	1/01	1 (0: Uitgeschakeld; 1: Ingeschakeld)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nee; 1: Ja)	01
   15/0f.	1/01	1 (0: Productie geïnstalleerd; 1: Aangepast geïnstalleerd)	01

   Samenvatting van de parameterwaarden:

   • FIPS-modus = Ingeschakeld

   • Server = http://10.79.57.91

   • Vingerafdruk root CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Wachtwoord uitdaging = D233CCF9B9952A15

   • 802.1X-verificatie inschakelen = Ja

   • Certificaat selecteren = Aangepast geïnstalleerd

   De syntaxis van de uiteindelijke hexwaarde is: {<suboption><length><value>}...

   Volgens de bovenstaande parameterwaarden is de uiteindelijke hexwaarde als volgt:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Configureer DHCP optie 43 op een DHCP-server.
   Deze stap bevat een voorbeeld van configuraties in de DHCP optie 43 in het Cisco Network Register.
   1. Voeg DHCP definitieset met opties toe.

      De reeks opties van leveranciers is de modelnaam van de IP telefoons. De geldige waarde is: DP-9841, DP-9851, DP-9861, DP-9871 of CP-8875.

   2. Voeg de DHCP optie 43 en subsecties toe aan de DHCP definitieset met opties.

      Voorbeeld:

      

   3. Voeg opties 43 toe aan het DHCP beleid en stel de waarde als volgt in:

      Voorbeeld:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Controleer de instellingen. Met Wireshark kunt u een spoor van het netwerkverkeer tussen de telefoon en de service vastleggen.
4. Voer de fabriek opnieuw uit voor de telefoon.

   Nadat de telefoon opnieuw is ingesteld, worden de parameters Server, Vingerafdruk van root CA en Challenge Password automatisch ingevuld. Deze parameters bevinden zich in de sectie SCEP-configuratie 1 van Certificate > Custom op de webpagina telefoonbeheer.

   Als u details van het geïnstalleerde certificaat wilt controleren, klikt u op Weergeven in het gedeelte Bestaande certificaten .

   Als u de installatiestatus van het certificaat wilt controleren, selecteert u Certificate > Custom Cert Status. Bij Downloadstatus 1 wordt het laatste resultaat weergegeven. Als zich een probleem voordoet tijdens het aanmelden van het certificaat, kan de downloadstatus de reden van het probleem aangeven.

   Als de wachtwoordverificatie voor de uitdaging mislukt, worden gebruikers gevraagd het wachtwoord in te voeren op het telefoonscherm.
5. (Optioneel): als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u op Verwijderen in het gedeelte Bestaande certificaten .
   Nadat u op de knop hebt geklikt, begint het verwijderen meteen, zonder dat u een bevestiging hebt ontvangen.

Het apparaatcertificaat kan automatisch worden vernieuwd tijdens het SCEP-proces.

• De telefoon controleert of het certificaat over 15 dagen om de 4 uur verloopt. In dat gebeurt, dan wordt het vernieuwingsproces van het certificaat automatisch gestart door de telefoon.
• Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/S ÉÉN VOOR de eerste aanmelding en het vernieuwen van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding, en wordt het bestaande/geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.
• Het oude apparaatcertificaat wordt pas verwijderd als het nieuwe certificaat is opgehaald.
• Als het vernieuwen van het certificaat mislukt omdat het apparaatcertificaat of CA verloopt, wordt de eerste aanmelding automatisch geactiveerd door de telefoon. Als de uitdaging voor wachtwoordverificatie ondertussen mislukt, wordt er een wachtwoordinvoerscherm op het telefoonscherm weergegeven en worden gebruikers gevraagd om het wachtwoord voor de uitdaging op de telefoon in te voeren.

Cisco IP-telefoon ondersteunt 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP herkent geen lokaal aangesloten werkstations. Cisco IP-telefoons beschikken over een EAPOL-doorgeefmechanisme. Hiermee kan een werkstation dat is verbonden met de Cisco IP-telefoon EAPOL-berichten doorgeven voor 802.1X-verificatie op de LAN-switch. Het doorgeefmechanisme zorgt dat de IP-telefoon niet fungeert als LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons beschikken ook over een proxy EAPOL-uitlogmechanisme. Als de lokaal verbonden pc de verbinding met een IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling niet meer werkt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, stuurt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt getriggerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning van de 802.1X-verificatie zijn diverse onderdelen vereist:

• Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

• Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een gedeeld geheim dat de telefoon verifieert.

• Switch: de switch moet 802.1X ondersteunen, zodat deze als de verificator kan werken en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

U moet de volgende acties uitvoeren om 802.1X te configureren.

• Configureer de overige componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

• Configureer pc-poort: de 802.1X-standaard houdt geen rekening met VLAN's en beveelt daarom aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

  • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en er een pc op aansluiten. In dat geval ondersteunt de Cisco IP-telefoon de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

    Meer informatie over IEEE 802.1X-ondersteuning op Cisco Catalyst-switches vindt u in de handleidingen voor Cisco Catalyst-switchconfiguratie op:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Uitgeschakeld: als de switch niet meerdere met 802.1X compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen als 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op probeert aan te sluiten, weigert de switch netwerktoegang voor de telefoon en de pc.

• Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
  • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u het spraak-VLAN blijven gebruiken.
  • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
• (alleen voor Cisco-bureautelefoon 9800-serie)

  De Cisco Bureautelefoon 9800-serie heeft een ander prefix in het PID dan de andere Cisco-telefoons. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De gebruikersnaamparameter die de Cisco Bureautelefoon 9800 Series moet bevatten.

  De PID van telefoon 9841 is DP-9841; kunt u Radius· Gebruikersnaam om te beginnen met DP of Bevat DP. U kunt deze in beide volgende gedeelten instellen:

  • Beleid > Voorwaarden > Libraire Voorwaarden

  • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1