Помимо регистрации сертификата SCEP, применяемого вручную на веб-странице телефона, можно также использовать параметр 43 DHCP для заполнения параметров с DHCP сервера. Параметр DHCP 43 предварительно настраивается с параметрами SCEP, так что позже телефон может получить параметры с DHCP сервера для регистрации сертификатов SCEP.

Чтобы зарегистрировать сертификат SCEP путем настройки параметров SCEP в параметре DHCP 43, выполните следующие действия

1. Подготовьте среду SCEP.

   Для получения информации о настройке среды SCEP см. документацию на сервер SCEP.

2. Настройка DHCP параметру 43 (определяется в версии 8.4 «Сведения о поставщике», RFC 2132).

   Подопья (10–15) зарезервированы для метода:

   Параметр на веб-странице телефона	Подсопровожение	Тип	Длина (байт)	Обязательный
   Режим FIPS	10	булев	1	Нет*
   Сервер	11	строка	208 — длина (пароль вызова)	Да
   Укоренение корневого CA	12	двоичный	20 или 32	Да
   Вызов пароля	13	строка	208 — длина (сервер)	Нет*
   Включение аутентификации 802.1X	14	булев	1	Нет
   Выбор сертификата	15	неподписанный 8-битный	1	Нет

   При использовании параметра DHCP 43 следует учесть следующие характеристики этого метода:

   • Субподзоры (10–15) зарезервированы для сертификата пользовательского устройства (CDC).
   • Максимальная длина DHCP параметру 43 составляет 255 байт.
   • Максимальная длина поля "Сервер + пароль вызова" должна быть менее 208 байт.
   • Значение режима FIPS должно соответствовать конфигурации по включенной подготовке. В противном случае телефон не сможет извлечь ранее установленный сертификат после включения в систему. Конкретно
     • Если телефон будет зарегистрирован в среде, где режим FIPS отключен, настройку параметра «Режим FIPS» в параметре DHCP 43 не требуется. По умолчанию режим FIPS отключен.
     • Если телефон будет зарегистрирован в среде, где включен режим FIPS, режим FIPS необходимо включить в DHCP параметру 43. Подробнее см . раздел «Включение режима FIPS».
   • Пароль в параметре 43 отображается чистым текстом.

     Если пароль для вызова пуст, телефон использует MIC/SUDI для первоначальной регистрации и обновления сертификата. Если пароль вызова настроен, он используется только для первоначальной регистрации, а установленный сертификат будет использоваться для обновления сертификата.

   • Включение аутентификации 802.1X и выбора сертификатов используются только на телефонах в проводной сети.
   • DHCP для идентификации модели устройства используется параметр 60 (идентификатор класса поставщика).

   В следующей таблице приводится пример DHCP параметра 43 (подопеки 10–15):

   Подопечная десятичная дробь/гекс	Длина значения (байт) десятичное значение/шестнадцатеричное	Значение	Значение в hex-миксе
   10/0a	1/01	1 (0: выключено; 1: включено)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Нет; 1: Да)	01
   15/0f	1/01	1 (0: Установлено на производстве; 1: Пользовательское установлено)	01

   Сводная информация по значениям параметров:

   • Режим FIPS = включен

   • Сервер = http://10.79.57.91

   • Укоренение корневого CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Пароль вызова = D233CCF9B9952A15

   • Включить аутентификацию 802.1X = Да

   • Certificate Select = Пользовательское установлено

   Последнее значение в hex:{<suboption><length><удижение>}...

   Согласно приведенным выше значениям параметра, итоговое значение в hex выдается следующим образом:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Настройте параметр DHCP 43 на DHCP-сервере.
   На этом шаге приведен пример конфигурации DHCP параметра 43 в Cisco Network Register.
   1. Добавьте DHCP набор определений параметров.

      Строка параметров поставщика — это имя модели IP телефонов. Допустимое значение: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

   2. Добавьте DHCP 43 и субподзоры в набор определений DHCP вариантов.

      Пример.

      

   3. Добавьте параметры 43 в политику DHCP и задайте значение следующим образом:

      Пример.

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Проверьте настройки. С помощью Wireshark можно отслеживать сетевой трафик между телефоном и службой.
4. Выполните сброс до заводских настроек для телефона.

   После сброса телефона автоматически заполняются параметры «Сервер», «Идентификация корневого CA» и «Пароль вызова». Эти параметры размещены в разделе «Конфигурация SCEP 1 » из раздела Certificate > Custom на веб-странице администрирования телефона.

   Чтобы проверить сведения об установленном сертификате, щелкните " Просмотр " в разделе "Существующие сертификаты".

   Чтобы проверить статус установки сертификата, выберите «Сертификат > Custom Cert Status». Статус загрузки 1 отображает последний результат. Если возникают какие-либо проблемы при регистрации сертификата, статус загрузки может показать причину этой проблемы для устранения неполадок.

   Если аутентификация при проверке пароля вызова терпит сбой, пользователям будет предложено ввести пароль на экране телефона.
5. (Необязательно): чтобы удалить установленный сертификат с телефона, нажмите кнопку « Удалить » в разделе «Существующие сертификаты».
   После нажатия этой кнопки удаление начинается немедленно без подтверждения.

Сертификат устройства может быть обновлен автоматически в рамках процесса SCEP.

• Телефон проверяет, не истекает ли срок действия сертификата через 15 дней каждые 4 часа. В этом случае телефон автоматически начинает обновление сертификата.
• Если пароль для вызова пуст, телефон использует MIC/SUDI как для первоначальной регистрации, так и для обновления сертификата. Если пароль вызова настроен, он используется только для начальной регистрации, существующий/установленный сертификат используется для обновления сертификата.
• Телефон не удаляет сертификат старого устройства, пока не извлекает новое.
• Если продление сертификата заканчивается, потому что сертификат устройства или СА истекает, телефон инициирует начальную регистрацию автоматически. В то же время, если аутентификация пароля вызова терпит сбой, на экране телефона появляется экран ввода пароля, и пользователям предлагается ввести пароль на телефоне.

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL на средство аутентификации 802.1X, размещенное на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не будет выполнять роль коммутатора локальной сети для аутентификации оконечного устройства данных перед получением доступа к сети.

Телефоны Cisco IP также предоставляют механизм выхода из прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как поддерживается канал между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон передает сообщение о выходе EAPOL на коммутатор от лица расположенного ниже ПК, что приводит к очистке коммутатором локальной сети записи аутентификации о расположенном ниже ПК.

Для поддержки аутентификации 802.1X требуются несколько компонентов.

• Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

• Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета, который аутентифицирует телефон.

• Коммутатор: чтобы коммутатор мог действовать в качестве средства аутентификации и передавать сообщения между телефоном и сервером аутентификации, он должен поддерживать стандарт 802.1X. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Для настройки 802.1X необходимо выполнить следующие действия.

• Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

• Настройка порта ПК: в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), поэтому рекомендуется, чтобы только одно устройство проходило аутентификацию для определенного порта коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключать ПК к порту ПК на телефоне.

  • Включено: если используется коммутатор, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подсоединить к нему ПК. В этом случае телефоны Cisco IP поддерживают выход с прокси-сервера EAPOL для отслеживания обмена данными аутентификации между коммутатором и подключенным ПК.

    Дополнительные сведения о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по конфигурации коммутаторов Cisco Catalyst:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

  • Отключено: если коммутатор не поддерживает несколько совместимых со стандартом 802.1X устройств на одном и том же порту, то при включенной аутентификации по 802.1X необходимо отключить порт ПК. Если вы не отключите этот порт и впоследствии попытаетесь подключить к нему ПК, коммутатор откажет в доступе к сети и телефону, и ПК.

• Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.
  • Включено: если вы используете коммутатор, поддерживающий аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
  • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
• (Только для настольных телефонов Cisco серии 9800)

  Настольное телефонное устройство Cisco серии 9800 имеет в PID другой префикс, чем у других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр User-Name (Имя пользователя), включающее в себя настольный телефон Cisco серии 9800.

  Например, PID для телефона 9841 — DP-9841; можно задать Радиус. Имя пользователя для начала с DP или содержит DP. Его можно установить в обоих следующих разделах:

  • Политика > Кондиции > Обусловы по лизме

  • Политика > Наборы политики> Политика аутентификации> Правило 1

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Телефон поддерживается архитектурой Cisco SAFE Security, чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик. Дополнительные сведения о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP телефонии Cisco обеспечивает защиту беспроводной сети, предотвращая несанкционированный вход и скомпрометирование связи, используя следующие методы аутентификации, поддерживаемые телефоном:

• Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.

• Аутентификация с помощью защищенного туннелирования (EAP-FAST): эта архитектура безопасности клиента-сервера обеспечивает шифрование EAP транзакций в туннеле уровня безопасности TLS между точкой доступа и сервером РАДИУС, например, identity Services Engine (ISE).

  TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.

  В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.

• Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводных EAP-TLS сертификатом клиента может быть MIC, LSC или установленный пользователем сертификат.

• Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации по беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

• Клавиша до общего доступа (PSK): телефон поддерживает ASCII формат. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать указанный ниже формат

  ASCII: строка ASCII-символов длиной от 8 до 63 символов (0–9, строчные и заглавные буквы A–Z, специальные символы).

  Пример: GREG123567@9ZX&W

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

• WPA/WPA2/WPA3: использует информацию о сервере РАДИУС для генерации уникальных ключей для аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

• Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Настольные телефоны Cisco 9861 и 9871, а также телефон Cisco Video Phone 8875 поддерживают 802.11r (FT). Поддерживаются и по воздуху, и через DS, что обеспечивает быстрый защищенный роуминг. Однако мы настоятельно рекомендуем использовать беспроводную связь стандарта 802.11r (FT).

При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Чтобы обеспечить безопасность голосового трафика, телефон поддерживает TKIP и AES для шифрования. Когда эти механизмы используются для шифрования, между точкой доступа и телефоном шифруются как сигнальные SIP-пакеты, так и пакеты voice Real-Time Transport Protocol (RTP).

TKIP

WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключом каждого пакета и более длительные векторы инициализации, что делает шифрование более надежным. Кроме того, проверка целостности сообщения (MIC) обеспечивает невозможность изменения зашифрованных пакетов. TKIP устраняет предсказуемость WEP, благодаря которой злоумышленники могут расшифровать ключ WEP.

AES

Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который задействует один и тот же ключ для шифрования и расшифровки. AES использует 128-разрядный алгоритм шифрования Cipher Blocking Chain (CBC), который поддерживает ключи размером как минимум 128, 192 и 256 битов. Телефон поддерживает размер ключа 256 бит.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования.

Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры сетевой конфигурации телефона, соответствующего конфигурации точки доступа.