Securitate telefon IP Cisco

În plus față de înregistrarea certificatului SCEP prin configurațiile manuale de pe pagina web a telefonului, puteți utiliza și opțiunea DHCP 43 pentru a popula parametrii de pe un server DHCP. Opțiunea DHCP 43 este preconfigurată cu parametrii SCEP, ulterior telefonul poate prelua parametrii de la serverul DHCP pentru a efectua înscrierea certificatului SCEP.

Pentru a înscrie un certificat SCEP configurând parametrii SCEP în opțiunea DHCP 43, procedați astfel:

1. Pregătiți un mediu SCEP.

   Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.

2. Configurați DHCP opțiunea 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).

   Subopțiunile (10-15) sunt rezervate metodei:

   Parametru pe pagina web a telefonului	Subopțiune	Tip	Lungime (octet)	Obligatoriu
   Modul FIPS	10	boolean	1	Nu*
   Server	11	șir	208 - lungime (Challenge Password)	Da
   Amprentă CA rădăcină	12	binar	20 sau 32	Da
   Parola provocării	13	șir	208 - lungime (Server)	Nu*
   Activarea autentificării 802.1X	14	boolean	1	Nu
   Selectare certificat	15	Nesemnat pe 8 biți	1	Nu

   Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:

   • Subopțiunile (10–15) sunt rezervate pentru Certificatul de dispozitiv personalizat (CDC).
   • Lungimea maximă a opțiunii DHCP 43 este de 255 octeți.
   • Lungimea maximă a parolei server + provocare trebuie să fie mai mică de 208 octeți.
   • Valoarea modului FIPS trebuie să fie în concordanță cu configurația de asigurare a accesului la integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Special
     • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați parametrul Mod FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
     • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este activat, trebuie să activați modul FIPS în opțiunea DHCP 43. Consultați Activarea modului FIPS pentru detalii.
   • Parola din opțiunea 43 este în text clar.

     Dacă parola provocării este goală, telefonul utilizează MIC/SUDI pentru înscrierea inițială și reînnoirea certificatului. Dacă parola de provocare este configurată, aceasta este utilizată numai pentru înscrierea inițială, iar certificatul instalat va fi utilizat pentru reînnoirea certificatului.

   • Enable 802.1X Authentication (Activare autentificare 802.1X) și Certificate Select (Selectare certificat) sunt utilizate numai pentru telefoanele din rețeaua cu fir.
   • DHCP opțiune 60 (Identificator clasă furnizor) este utilizată pentru a identifica modelul dispozitivului.

   Următorul tabel oferă un exemplu de DHCP opțiunea 43 (subopțiunile 10–15):

   Subopțiune zecimal/hexazecimal	Lungimea valorii (octet) zecimal/hexazecimal	Valoare	Valoare hexagonală
   10/0a	1/01	1 (0: Dezactivat; 1: Activat)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nu; 1: Da)	01
   15/0f	1/01	1 (0: Producție instalată; 1: Personalizat instalat)	01

   Rezumatul valorilor parametrilor:

   • Mod FIPS = Activat

   • Server = http://10.79.57.91

   • Amprentă CA rădăcină = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Parola provocării = D233CCF9B9952A15

   • Activați autentificarea 802.1X = Da

   • Certificate Select = Personalizat instalat

   Sintaxa valorii hexazecimale finale este: {<suboption><length><value>}...

   Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este următoarea:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Configurați opțiunea DHCP 43 pe un server DHCP.
   Acest pas oferă un exemplu de configurații ale opțiunii DHCP 43 din Cisco Network Register.
   1. Adăugați DHCP set de definiții de opțiuni.

      Șirul de opțiuni al furnizorului este numele modelului pentru telefoanele IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.

   2. Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiții de opțiuni DHCP.

      Exemplu:

      

   3. Adăugați opțiunile 43 la politica DHCP și configurați valoarea după cum urmează:

      Exemplu:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea între telefon și serviciu.
4. Efectuați o resetare la setările din fabrică a telefonului.

   După resetarea telefonului, parametrii Server, Root CA Fingerprint și Challenge Password vor fi completați automat. Acești parametri se găsesc în secțiunea SCEP Configuration 1 din Certificate > Custom de pe pagina web de administrare a telefonului.

   Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

   Pentru a verifica starea instalării certificatului, selectați Status > Custom Cert Status. Starea descărcării 1 afișează cel mai recent rezultat. Dacă apare vreo problemă în timpul înscrierii certificatului, starea descărcării poate afișa motivul problemei în scopul depanării.

   Dacă autentificarea cu parolă a provocării eșuează, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului.
5. (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.
   După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.

Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.

• Telefonul verifică dacă certificatul va expira în 15 zile la fiecare 4 ore. În acest caz, telefonul pornește automat procesul de reînnoire a certificatului.
• Dacă parola provocării este goală, telefonul utilizează MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului. Dacă parola de provocare este configurată, este utilizată numai pentru înscrierea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
• Telefonul nu scoate certificatul vechi al dispozitivului până când nu îl regăsește pe cel nou.
• Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înscrierea inițială. Între timp, dacă autentificarea cu parolă a provocării eșuează, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola provocării pe telefon.

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.

Acceptarea autentificării 802.1X necesită mai multe componente:

• Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

• Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

• Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

• Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

• Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.

  • Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.

    Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.

• Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
  • Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
  • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
• (Numai pentru telefonul Cisco Desk seria 9800)

  Telefonul Cisco Desk seria 9800 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Rază · Parametrul Nume utilizator pentru a include telefonul Cisco Desk seria 9800.

  De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Rază· Nume utilizator pentru a începe cu DP sau conține DP. Puteți să o setați în ambele secțiuni următoare:

  • Politică > Condiții > Condiții de bibliotecă

  • Politici > Seturi de politici> Politica de autorizare> Regula de autorizare 1