Cisco IP Phone Security

Oprócz rejestracji certyfikatu protokołu SCEP przy użyciu ręcznych konfiguracji na stronie WWW telefonu można również użyć opcji DHCP 43 w celu wypełnienia parametrów z serwera DHCP. DHCP opcja 43 jest wstępnie skonfigurowana z parametrami protokołu SCEP, później telefon może pobrać parametry z serwera DHCP w celu przeprowadzenia rejestracji certyfikatu SCEP.

Aby zarejestrować certyfikat protokołu SCEP przez skonfigurowanie parametrów protokołu SCEP w DHCP opcji 43, wykonaj następujące czynności:

1. Przygotuj środowisko protokołu SCEP.

   Informacje na temat konfiguracji środowiska protokołu SCEP można znaleźć w dokumentacji serwera protokołu SCEP.

2. Skonfiguruj DHCP opcji 43 (zdefiniowanej w dokumencie RFC 2132 dotyczącym 8.4 Informacje specyficzne dla dostawcy).

   Podopcje (10–15) są zarezerwowane dla metody:

   Parametr na stronie WWW telefonu	Podopcja	Typ	Długość (bajt)	Mandatory
   Tryb FIPS	10	boolowski	1	Nie*
   Serwer	11	łańcuch	208 - długość (hasło wyzwania)	Tak
   Odcisk palca głównego urzędu certyfikacji	12	dwójkowy	20 lub 32	Tak
   Hasło wyzwania	13	łańcuch	208 - długość (Serwer)	Nie*
   Włącz uwierzytelnianie 802.1x	14	boolowski	1	Nie
   Wybierz certyfikat	15	Bez podpisu, 8-bitowy	1	Nie

   Korzystając z DHCP opcji 43, zwróć uwagę na następujące cechy metody:

   • Podopcje (10–15) są zarezerwowane dla certyfikatu urządzenia niestandardowego (CDC, Custom Device Certificate).
   • Maksymalna długość DHCP opcji 43 wynosi 255 bajtów.
   • Maksymalna długość Serwer + Hasło wyzwania będzie mniejsza niż 208 bajtów.
   • Wartość trybu FIPS musi być zgodna z konfiguracją inicjowania obsługi. W przeciwnym razie telefon nie pobierze wcześniej zainstalowanego certyfikatu po dołączeniu. Specyficznie
     • Jeśli telefon zostanie zarejestrowany w środowisku, w którym tryb FIPS jest wyłączony, nie trzeba konfigurować parametru Tryb FIPS w DHCP opcji 43. Domyślnie tryb FIPS jest wyłączony.
     • Jeśli telefon będzie zarejestrowany w środowisku, w którym włączony jest tryb FIPS, należy włączyć tryb FIPS w DHCP opcji 43. Szczegółowe informacje zawiera sekcja Włączanie trybu FIPS.
   • Hasło w opcji 43 jest w postaci zwykłego tekstu.

     Jeśli hasło wyzwania jest puste, telefon używa MIC/SUDI do początkowej rejestracji i odnawiania certyfikatu. Jeśli hasło wezwania jest skonfigurowane, jest używane tylko podczas początkowej rejestracji, a zainstalowany certyfikat zostanie użyty do odnowienia certyfikatu.

   • Opcja Włącz uwierzytelnianie 802.1X i wybór certyfikatu są używane tylko w przypadku telefonów w sieci przewodowej.
   • DHCP opcja 60 (Identyfikator klasy dostawcy) służy do identyfikacji modelu urządzenia.

   W poniższej tabeli przedstawiono przykład DHCP opcji 43 (podopcje 10–15):

   Podopcja dziesiętna/szesnastkowa	Długość wartości (bajt) dziesiętne/szesnastkowe	Wartość	Wartość szesnastkowa
   10/0A	1/01	1 (0: Wyłączone; 1: Włączone)	01
   11/0 mld	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0E	1/01	1 (0: Nie; 1: Tak)	01
   15/0f	1/01	1 (0: Zainstalowano fabrycznie; 1: Zainstalowano niestandardowo)	01

   Podsumowanie wartości parametrów:

   • Tryb FIPS = Włączony

   • Serwer = http://10.79.57.91

   • Odcisk palca głównego urzędu certyfikacji = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Hasło wyzwania = D233CCF9B9952A15

   • Włącz uwierzytelnianie 802.1X = Tak

   • Certificate Select (Zainstalowano certyfikat) = Zainstalowano niestandardowo

   Składnia końcowej wartości szesnastkowej jest następująca: {<suboption><length><value>}...

   Zgodnie z powyższymi wartościami parametrów, ostateczna wartość szesnastkowa jest następująca:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Skonfiguruj DHCP opcję 43 na serwerze DHCP.
   Ten krok zawiera przykład konfiguracji opcji DHCP 43 w rejestrze sieci Cisco.
   1. Dodaj DHCP zestaw definicji opcji.

      Ciąg opcji dostawcy to nazwa modelu telefonów IP. Poprawna wartość to: DP-9841, DP-9851, DP-9861, DP-9871 lub CP-8875.

   2. Dodaj opcję DHCP 43 i podopcje do zestawu definicji opcji DHCP.

      Przykład:

      

   3. Dodaj opcje 43 do zasad DHCP i ustaw wartość w następujący sposób:

      Przykład:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Sprawdź ustawienia. Programu Wireshark można użyć do przechwycenia śladu ruchu sieciowego między telefonem a usługą.
4. Przywróć ustawienia fabryczne telefonu.

   Po zresetowaniu telefonu parametry Server, Root CA Fingerprint i Challenge Password zostaną wypełnione automatycznie. Parametry te znajdują się w sekcji Konfiguracja protokołu SCEP 1 z sekcji Certyfikat > Niestandardowe na stronie WWW administracji telefonu.

   Aby sprawdzić szczegóły zainstalowanego certyfikatu, kliknij przycisk Wyświetl w sekcji Istniejące certyfikaty .

   Aby sprawdzić stan instalacji certyfikatu, wybierz Certyfikat > Niestandardowy stan certyfikatu. Stan pobierania 1 pokazuje najnowszy wynik. Jeśli podczas rejestrowania certyfikatu wystąpi jakikolwiek problem, stan pobierania może wskazywać przyczynę problemu w celu rozwiązania problemu.

   Jeśli uwierzytelnianie hasłem wezwania nie powiedzie się, użytkownicy zostaną poproszeni o wprowadzenie hasła na ekranie telefonu.
5. (Opcjonalnie): Aby usunąć zainstalowany certyfikat z telefonu, kliknij przycisk Usuń w sekcji Istniejące certyfikaty .
   Po kliknięciu przycisku operacja usuwania rozpocznie się natychmiast bez potwierdzenia.

Certyfikat urządzenia może zostać automatycznie odświeżony przez proces protokołu SCEP.

• Telefon sprawdza, czy certyfikat wygaśnie za 15 dni co 4 godziny. W takim przypadku telefon automatycznie rozpocznie proces odnawiania certyfikatu.
• Jeśli hasło wezwania jest puste, telefon używa MIC/SUDI zarówno do wstępnej rejestracji, jak i odnowienia certyfikatu. Jeśli hasło wezwania jest skonfigurowane, jest używane tylko do początkowej rejestracji, istniejący/zainstalowany certyfikat jest używany do odnawiania certyfikatu.
• Telefon nie usunie starego certyfikatu urządzenia, dopóki nie pobierze nowego.
• Jeśli odnowienie certyfikatu nie powiedzie się z powodu wygaśnięcia certyfikatu urządzenia lub urzędu certyfikacji, telefon automatycznie uruchomi początkową rejestrację. W międzyczasie, jeśli uwierzytelnianie hasłem wyzwania nie powiedzie się, na ekranie telefonu pojawi się ekran wprowadzania hasła, a użytkownicy zostaną poproszeni o wprowadzenie hasła wyzwania w telefonie.

Telefony IP Cisco obsługują uwierzytelnianie 802.1X.

Telefony IP Cisco i przełączniki Cisco Catalyst używają tradycyjnie protokołu CDP (Cisco Discovery Protocol) do identyfikowania siebie nawzajem i ustalania parametrów, np. przydziału sieci VLAN i wymagań dotyczących zasilania poprzez kabel sieciowy. Protokół CDP nie rozpoznaje podłączonych lokalnie stacji roboczych. Telefony IP Cisco udostępniają mechanizm przelotowy protokołu EAPOL. Umożliwia on stacji roboczej podłączonej do telefonu IP Cisco przekazywanie komunikatów protokołu EAPOL stronie uwierzytelniającej 802.1X w przełączniku sieci LAN. Dzięki mechanizmowi przelotowemu telefon IP nie musi pełnić funkcji przełącznika sieci LAN, aby uwierzytelnić punkt końcowy danych przed uzyskaniem dostępu do sieci.

Telefony IP Cisco udostępniają również mechanizm zastępczego wylogowywania w ramach protokołu EAPOL. W sytuacji, gdy podłączony lokalnie komputer przerwie połączenie z telefonem IP, przełącznik sieci LAN nie zauważy awarii łącza fizycznego, ponieważ łącze między przełącznikiem sieci LAN a telefonem IP zostanie zachowane. Aby zapobiec naruszeniu bezpieczeństwa sieci, telefon IP wysyła do przełącznika komunikat wylogowania w ramach protokołu EAPOL w imieniu komputera, co powoduje wyczyszczenie wpisu uwierzytelnienia komputera w przełączniku.

Obsługa uwierzytelniania 802.1X wymaga kilku składników:

• Telefon IP Cisco: telefon inicjuje żądanie dostępu do sieci. Telefony IP Cisco zawierają stronę uwierzytelnianą 802.1X. Dzięki niej administratorzy sieci mogą kontrolować łączność telefonów IP z portami przełącznika sieci LAN. Bieżąca wersja strony uwierzytelnianej 802.1X w telefonach korzysta z opcji EAP-FAST i EAP-TLS do uwierzytelniania sieci.

• Serwer uwierzytelniania: zarówno serwer uwierzytelniania, jak i przełącznik muszą być skonfigurowane przy użyciu wspólnego hasła, które uwierzytelnia telefon.

• Przełącznik: Przełącznik musi obsługiwać 802.1X i pełni funkcję strony uwierzytelniającej, przekazuje komunikaty między telefonem a serwerem uwierzytelniania. Po zakończeniu wymiany komunikatów przełącznik przyznaje telefonowi dostęp do sieci lub odrzuca jego żądanie.

Aby skonfigurować uwierzytelnianie 802.1X:

• Skonfiguruj pozostałe składniki, zanim włączysz w telefonie uwierzytelnianie 802.1X.

• Skonfiguruj port komputera: w standardzie 802.1X nie uwzględniono sieci VLAN, więc zaleca się uwierzytelnianie tylko jednego urządzenia na każdym porcie przełącznika. Niektóre przełączniki obsługują jednak uwierzytelnianie w wielu domenach. Konfiguracja przełącznika określa, czy do portu komputera w telefonie można podłączyć komputer.

  • Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz włączyć port komputera i podłączyć do niego komputer. W takim przypadku telefony IP Cisco obsługują zastępcze wylogowywanie w ramach protokołu EAPOL, aby monitorować wymianę komunikatów dotyczących uwierzytelniania między przełącznikiem a podłączonym komputerem.

    Więcej informacji o zgodności przełączników Cisco Catalyst ze standardem IEEE 802.1X można znaleźć w ich podręcznikach konfiguracji pod adresem:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Wyłączone: jeśli przełącznik nie obsługuje na tym samym porcie wielu urządzeń zgodnych ze standardem 802.1X, po włączeniu uwierzytelniania 802.1X wyłącz port komputera. W przeciwnym razie przy próbie podłączenia do niego komputera przełącznik odmówi dostępu do sieci zarówno telefonowi, jak i komputerowi.

• Skonfiguruj opcję VLAN głosowy: w standardzie 802.1X nie uwzględniono sieci VLAN, więc skonfiguruj tę opcję zgodnie z zakresem obsługi uwierzytelniania przez przełącznik.
  • Włączone: jeśli korzystasz z przełącznika, który obsługuje uwierzytelnianie w wielu domenach, możesz kontynuować korzystanie z sieci VLAN komunikacji głosowej.
  • Wyłączone: jeśli przełącznik nie obsługuje uwierzytelniania w wielu domenach, wyłącz opcję VLAN głosowy i rozważ przypisanie portu macierzystej sieci VLAN.
• (Tylko dla telefonów biurkowych Cisco z serii 9800)

  Telefon biurkowy Cisco z serii 9800 ma inny prefiks w identyfikatorze PID niż inne telefony Cisco. Aby umożliwić telefonowi przekazywanie uwierzytelniania 802.1X, ustaw opcję Promień· Parametr User-Name (Nazwa użytkownika ), aby uwzględnić telefon biurkowy Cisco z serii 9800.

  Na przykład identyfikator PID telefonu 9841 to DP-9841; można ustawić promień· Nazwa użytkownika, która zaczyna się od DP lub zawiera DP. Można go ustawić w obu następujących sekcjach:

  • Zasady > Warunki > Warunki biblioteczne

  • Zasady > Zestawy zasad> Zasady autoryzacji > Reguła autoryzacji 1