În plus față de înregistrarea certificatului SCEP prin configurațiile manuale de pe pagina web a telefonului, puteți utiliza și opțiunea DHCP 43 pentru a popula parametrii de pe un server DHCP. Opțiunea DHCP 43 este preconfigurată cu parametrii SCEP, ulterior telefonul poate prelua parametrii de la serverul DHCP pentru a efectua înscrierea certificatului SCEP.

Pentru a înscrie un certificat SCEP configurând parametrii SCEP în opțiunea DHCP 43, procedați astfel:

1. Pregătiți un mediu SCEP.

   Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.

2. Configurați DHCP opțiunea 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).

   Subopțiunile (10-15) sunt rezervate metodei:

   Parametru pe pagina web a telefonului	Subopțiune	Tip	Lungime (octet)	Obligatoriu
   Modul FIPS	10	boolean	1	Nu*
   Server	11	șir	208 - lungime (Challenge Password)	Da
   Amprentă CA rădăcină	12	binar	20 sau 32	Da
   Parola provocării	13	șir	208 - lungime (Server)	Nu*
   Activarea autentificării 802.1X	14	boolean	1	Nu
   Selectare certificat	15	Nesemnat pe 8 biți	1	Nu

   Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:

   • Subopțiunile (10–15) sunt rezervate pentru Certificatul de dispozitiv personalizat (CDC).
   • Lungimea maximă a opțiunii DHCP 43 este de 255 octeți.
   • Lungimea maximă a parolei server + provocare trebuie să fie mai mică de 208 octeți.
   • Valoarea modului FIPS trebuie să fie în concordanță cu configurația de asigurare a accesului la integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Special
     • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați parametrul Mod FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
     • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este activat, trebuie să activați modul FIPS în opțiunea DHCP 43. Consultați Activarea modului FIPS pentru detalii.
   • Parola din opțiunea 43 este în text clar.

     Dacă parola provocării este goală, telefonul utilizează MIC/SUDI pentru înscrierea inițială și reînnoirea certificatului. Dacă parola de provocare este configurată, aceasta este utilizată numai pentru înscrierea inițială, iar certificatul instalat va fi utilizat pentru reînnoirea certificatului.

   • Enable 802.1X Authentication (Activare autentificare 802.1X) și Certificate Select (Selectare certificat) sunt utilizate numai pentru telefoanele din rețeaua cu fir.
   • DHCP opțiune 60 (Identificator clasă furnizor) este utilizată pentru a identifica modelul dispozitivului.

   Următorul tabel oferă un exemplu de DHCP opțiunea 43 (subopțiunile 10–15):

   Subopțiune zecimal/hexazecimal	Lungimea valorii (octet) zecimal/hexazecimal	Valoare	Valoare hexagonală
   10/0a	1/01	1 (0: Dezactivat; 1: Activat)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nu; 1: Da)	01
   15/0f	1/01	1 (0: Producție instalată; 1: Personalizat instalat)	01

   Rezumatul valorilor parametrilor:

   • Mod FIPS = Activat

   • Server = http://10.79.57.91

   • Amprentă CA rădăcină = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Parola provocării = D233CCF9B9952A15

   • Activați autentificarea 802.1X = Da

   • Certificate Select = Personalizat instalat

   Sintaxa valorii hexazecimale finale este: {<suboption><length><value>}...

   Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este următoarea:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Configurați opțiunea DHCP 43 pe un server DHCP.
   Acest pas oferă un exemplu de configurații ale opțiunii DHCP 43 din Cisco Network Register.
   1. Adăugați DHCP set de definiții de opțiuni.

      Șirul de opțiuni al furnizorului este numele modelului pentru telefoanele IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.

   2. Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiții de opțiuni DHCP.

      Exemplu:

      

   3. Adăugați opțiunile 43 la politica DHCP și configurați valoarea după cum urmează:

      Exemplu:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea între telefon și serviciu.
4. Efectuați o resetare la setările din fabrică a telefonului.

   După resetarea telefonului, parametrii Server, Root CA Fingerprint și Challenge Password vor fi completați automat. Acești parametri se găsesc în secțiunea SCEP Configuration 1 din Certificate > Custom de pe pagina web de administrare a telefonului.

   Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

   Pentru a verifica starea instalării certificatului, selectați Status > Custom Cert Status. Starea descărcării 1 afișează cel mai recent rezultat. Dacă apare vreo problemă în timpul înscrierii certificatului, starea descărcării poate afișa motivul problemei în scopul depanării.

   Dacă autentificarea cu parolă a provocării eșuează, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului.
5. (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.
   După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.

Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.

• Telefonul verifică dacă certificatul va expira în 15 zile la fiecare 4 ore. În acest caz, telefonul pornește automat procesul de reînnoire a certificatului.
• Dacă parola provocării este goală, telefonul utilizează MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului. Dacă parola de provocare este configurată, este utilizată numai pentru înscrierea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
• Telefonul nu scoate certificatul vechi al dispozitivului până când nu îl regăsește pe cel nou.
• Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înscrierea inițială. Între timp, dacă autentificarea cu parolă a provocării eșuează, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola provocării pe telefon.

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.

Acceptarea autentificării 802.1X necesită mai multe componente:

• Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

• Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

• Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

• Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

• Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.

  • Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.

    Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.

• Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
  • Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
  • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
• (Numai pentru Cisco Desk Phone seria 9800)

  Cisco Desk Phone seria 9800 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Radius · User-Name pentru a include Cisco Desk Phone seria 9800.

  De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta raza· Nume de utilizator pentru a începe cu DP sau Conține DP. Îl puteți seta în ambele secțiuni următoare:

  • Politică > Condiții > Condiții de bibliotecă

  • Politici > Seturi de politici > Politică de autorizare> Regula de autorizare 1

Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco Wireless IP asigură securitatea rețelei wireless care previne conectările neautorizate și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

• Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Această arhitectură de securitate client-server criptează tranzacțiile EAP într-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

  Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.

  În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.

• Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru EAP-TLS wireless, certificatul client poate fi MIC, LSC sau certificat instalat de utilizator.

• Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua fără fir. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.

• Cheie pre-partajată (PSK): telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie pre-partajată WPA/WPA2/SAE:

  ASCII: un șir de caractere ASCII cu 8 - 63 caractere lungime (0-9, litere mici și majuscule A-Z și caractere speciale)

  Exemplu: GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

• WPA/WPA2/WPA3: utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât WPA cheile prepartajate stocate pe AP și telefon.

• Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Cisco Video Phone 8875 acceptă 802.11r (FT). Atât deasupra aerului cât și deasupra DS sunt acceptate pentru a permite roaming rapid și sigur. Dar vă recomandăm insistent utilizarea 802.11r (FT) la metoda aeriană.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.

Pentru a asigura securitatea traficului de voce, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.

TKIP

WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă cifrarea cheilor per pachet și vectori de inițializare (IV) mai lungi, care consolidează criptarea. În plus, o verificare de integritate a mesajului (MIC) garantează faptul că pachetele criptate nu sunt modificate. TKIP elimină predictibilitatea WEP, care ajută intrușii să descifreze cheia WEP.

AES

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric, care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea Cipher Blocking Chain (CBC) pe dimensiunea de 128 de biți, care acceptă dimensiuni de chei de minimum 128 de biți, 192 de biți și 256 de biți. Telefonul acceptă o dimensiune a tastei de 256 biți.

Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

Schemele de autentificare și criptare din tabelul următor prezintă opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.