Cisco IP zabezpečenie telefónu

Okrem registrácie certifikátu SCEP pomocou manuálnych konfigurácií na webovej stránke telefónu môžete použiť aj možnosť DHCP 43 na vyplnenie parametrov z DHCP servera. Možnosť DHCP 43 je vopred nakonfigurovaná s parametrami SCEP, neskôr môže telefón načítať parametre zo servera DHCP na vykonanie registrácie certifikátu SCEP.

Ak chcete zaregistrovať certifikát SCEP konfiguráciou parametrov SCEP v DHCP možnosť 43, postupujte nasledovne:

1. Pripravte prostredie SCEP.

   Informácie o nastavení prostredia SCEP nájdete v dokumentácii k serveru SCEP.

2. Nastavte DHCP možnosť 43 (definovanú v 8.4 Informácie špecifické pre dodávateľa, RFC 2132).

   Čiastkové možnosti (10–15) sú vyhradené pre metódu:

   Parameter na webovej stránke telefónu	Čiastková možnosť	Typ	Dĺžka (bajt)	Povinný
   Režim FIPS	10	Boolean	1	Nie*
   Server	11	Reťazec	208 - dĺžka (heslo výzvy)	Áno
   Koreňový odtlačok CA	12	binárny	20 alebo 32	Áno
   Heslo výzvy	13	Reťazec	208 - dĺžka (server)	Nie*
   Povoliť overenie 802.1X	14	Boolean	1	Nie
   Vybrať certifikát	15	Nepodpísaná 8-bitová verzia	1	Nie

   Keď použijete možnosť DHCP 43, všimnite si nasledujúce charakteristiky metódy:

   • Čiastkové možnosti (10 – 15) sú vyhradené pre certifikát vlastného zariadenia (CDC).
   • Maximálna dĺžka možnosti 43 DHCP je 255 bajtov.
   • Maximálna dĺžka hesla Server + výzva musí byť menšia ako 208 bajtov.
   • Hodnota režimu FIPS musí byť konzistentná s konfiguráciou poskytovania pri zaradení. V opačnom prípade telefón nedokáže po zaradení načítať predtým nainštalovaný certifikát. Špeciálne
     • Ak bude telefón zaregistrovaný v prostredí, v ktorom je vypnutý režim FIPS, nemusíte konfigurovať parameter FIPS Mode (Režim FIPS) v DHCP možnosti 43. Režim FIPS je predvolene vypnutý.
     • Ak bude telefón zaregistrovaný v prostredí, v ktorom je povolený režim FIPS, musíte zapnúť režim FIPS v DHCP možnosti 43. Podrobnosti nájdete v časti Zapnutie režimu FIPS.
   • Heslo v možnosti 43 je v nešifrovanom texte.

     Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu a obnovenie certifikátu. Ak je nakonfigurované heslo výzvy, použije sa iba pre počiatočnú registráciu a nainštalovaný certifikát sa použije na obnovenie certifikátu.

   • Povoliť overenie 802.1X a výber certifikátu sa používajú len pre telefóny v káblovej sieti.
   • DHCP možnosti 60 (Identifikátor triedy dodávateľa) sa používa na identifikáciu modelu zariadenia.

   V nasledujúcej tabuľke je uvedený príklad možnosti DHCP 43 (čiastkové možnosti 10 – 15):

   Čiastková možnosť desatinné/hexadecimálne	Dĺžka hodnoty (bajt) desatinné/hexadecimálne	Hodnota	Hexadecimálna hodnota
   10/0a	1/01	1 (0: Vypnuté; 1: Povolené)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nie; 1: Áno)	01
   15/0f	1/01	1 (0: Nainštalovaná výroba; 1: Nainštalovaná na mieru)	01

   Súhrn hodnôt parametrov:

   • Režim FIPS = povolený

   • Server = http://10.79.57.91

   • Koreňový odtlačok CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Heslo výzvy = D233CCF9B9952A15

   • Povoliť overenie 802.1X = Áno

   • Výber certifikátu = Vlastné nainštalované

   Syntax konečnej hexadecimálnej hodnoty je: {<suboption><length><value>}...

   Podľa vyššie uvedených hodnôt parametrov je konečná hexadecimálna hodnota nasledovná:

   0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Nakonfigurujte možnosť 43 DHCP na serveri DHCP.
   Tento krok poskytuje príklad DHCP konfigurácie možnosti 43 v registri siete Cisco.
   1. Pridajte DHCP množinu definícií možností.

      Reťazec možností dodávateľa je názov modelu IP telefónov. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 alebo CP-8875.

   2. Pridajte DHCP možnosť 43 a vedľajšie možnosti do množiny definícií možností DHCP.

      Príklad:

      

   3. Pridajte možnosti 43 do politiky DHCP a nastavte hodnotu takto:

      Príklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Overte nastavenia. Wireshark môžete použiť na zachytenie stopy sieťovej prevádzky medzi telefónom a službou.
4. Vykonajte obnovenie výrobných nastavení telefónu.

   Po resetovaní telefónu sa automaticky vyplnia parametre Server, Root CA Fingerprint a Challenge Password . Tieto parametre sa nachádzajú v časti SCEP Konfigurácia 1 z Certificate > Custom na webovej stránke správy telefónu.

   Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na tlačidlo Zobraziť v časti Existujúce certifikáty .

   Ak chcete skontrolovať stav inštalácie certifikátu, vyberte Certificate > Custom Cert Status. Stav preberania 1 zobrazuje najnovší výsledok. Ak sa počas registrácie certifikátu vyskytne nejaký problém, stav sťahovania môže ukázať dôvod problému na účely riešenia problémov.

   Ak overenie heslom výzvy zlyhá, používatelia budú vyzvaní na zadanie hesla na obrazovke telefónu.
5. (Voliteľné): Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na Odstrániť v časti Existujúce certifikáty .
   Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.

Certifikát zariadenia je možné automaticky obnoviť procesom SCEP.

• Telefón každé 4 hodiny kontroluje, či platnosť certifikátu vyprší o 15 dní. Ak áno, telefón automaticky spustí proces obnovenia certifikátu.
• Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu aj obnovenie certifikátu. Ak je heslo výzvy nakonfigurované, používa sa iba na počiatočnú registráciu, existujúci/nainštalovaný certifikát sa použije na obnovenie certifikátu.
• Telefón neodstráni starý certifikát zariadenia, kým nenačíta nový.
• Ak obnovenie certifikátu zlyhá, pretože vyprší platnosť certifikátu zariadenia alebo certifikačnej autority, telefón automaticky spustí počiatočnú registráciu. Medzitým, ak overenie hesla výzvy zlyhá, na obrazovke telefónu sa zobrazí obrazovka na zadanie hesla a používatelia sú vyzvaní, aby na telefóne zadali heslo výzvy.

Cisco IP Phones podporuje autentifikáciu 802.1X.

Prepínače Cisco IP Phones a Cisco Catalyst tradične používajú Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je alokácia VLAN a požiadavky na inline napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. Cisco IP Phones poskytnúť mechanizmus prechodu EAPOL-om. Tento mechanizmus umožňuje pracovnej stanici pripojenej k Cisco IP Phone odovzdávať správy EAPOL do autentifikátora 802.1X na prepínači LAN. Mechanizmus priechodu zabezpečuje, že telefón IP nefunguje ako prepínač LAN na autentifikáciu koncového bodu údajov pred prístupom do siete.

Cisco IP Phones tiež poskytnúť proxy mechanizmus odhlásenia EAPOL. Ak sa lokálne pripojený počítač odpojí od telefónu IP, prepínač siete LAN nevidí fyzické prepojenie zlyhané, pretože spojenie medzi prepínačom LAN a telefónom IP je zachované. Aby sa nenarušila integrita siete, telefón IP odošle prepínaču v mene nadväzujúceho počítača správu EAPOL-Odhlásenie, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko komponentov:

• Cisco IP Phone: Telefón iniciuje požiadavku na prístup k sieti. Cisco IP Phones obsahovať prosebníka 802.1X. Tento prosebník umožňuje správcom siete kontrolovať pripojenie IP telefónov k portom prepínača LAN. Aktuálne vydanie prosepplikanta telefónu 802.1X využíva možnosti EAP-FAST a EAP-TLS na overovanie siete.

• Autentifikačný server: Autentifikačný server aj prepínač musia byť nakonfigurované so zdieľaným kľúčom, ktorý autentifikuje telefón.

• Prepínač: Prepínač musí podporovať štandard 802.1X, aby mohol fungovať ako autentifikátor a prenášať správy medzi telefónom a overovacím serverom. Po dokončení výmeny prepínač udelí alebo zakáže telefónu prístup k sieti.

Ak chcete nakonfigurovať 802.1X, musíte vykonať nasledujúce akcie.

• Pred zapnutím overovania 802.1X v telefóne nakonfigurujte ostatné súčasti.

• Konfigurácia portu PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača autentifikované iba jedno zariadenie. Niektoré prepínače však podporujú viacdoménové overovanie. Konfigurácia prepínača určuje, či je možné pripojiť počítač k portu PC telefónu.

  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete zapnúť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP Phones podporovať proxy EAPOL-Logoff na monitorovanie autentifikačných výmen medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore štandardu IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v príručkách konfigurácie prepínačov Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vypnuté: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port PC, keď je povolené overovanie 802.1X. Ak tento port nevypnete a potom sa k nemu pokúsite pripojiť počítač, prepínač zakáže sieťový prístup k telefónu aj počítaču.

• Konfigurovať hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete pokračovať v používaní hlasovej siete VLAN.
  • Vypnuté: Ak prepínač nepodporuje overovanie viacerých domén, zakážte hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
• (Len pre stolový telefón Cisco Phone 9800 Series)

  Telefón Cisco Desk Phone 9800 Series má v PID inú predvoľbu ako pre ostatné telefóny Cisco. Ak chcete, aby váš telefón prešiel overením 802.1X, nastavte okruh· Parameter Meno používateľa na zahrnutie vášho telefónu Cisco Desk Phone 9800 Series.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť polomer· Meno používateľa na začiatok na DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Zásada > Podmienky > Podmienky knižnice

  • Politika > Množiny politík> Autorizačná politika > Autorizačné pravidlo 1