Poleg vpisa potrdila SCEP z ročnimi konfiguracijami na spletni strani telefona lahko uporabite tudi možnost DHCP 43 za izpolnitev parametrov iz strežnika DHCP. Možnost DHCP 43 je vnaprej konfigurirana s parametri SCEP, kasneje pa lahko telefon pridobi parametre iz strežnika DHCP za izvedbo vpisa v potrdilo SCEP.

Če želite včlaniti potrdilo SCEP tako, da konfigurirate parametre SCEP v možnosti DHCP 43, naredite to:

1. Pripravite okolje SCEP.

   Če želite več informacij o namestitvi okolja SCEP, glejte dokumentacijo strežnika SCEP.

2. Nastavite možnost DHCP 43 (opredeljeno v 8.4 Informacije o prodajalcu, RFC 2132).

   Podmožnosti (10–15) so rezervirane za metodo:

   Parameter na spletni strani telefona	Podmožnost	Vrsta	Dolžina (bajt)	Obvezno
   Način FIPS	10	Logična vrednost	1	Ne*
   Strežnik	11	niz	208 - dolžina (geslo za izziv)	Da
   Prstni odtis korenskega CA	12	Binary	20 ali 32	Da
   Geslo za izziv	13	niz	208 - dolžina (strežnik)	Ne*
   Omogočanje preverjanja pristnosti 802.1X	14	Logična vrednost	1	Ne
   Izberite potrdilo	15	nepodpisan 8-bitni	1	Ne

   Ko uporabljate možnost DHCP 43, upoštevajte naslednje značilnosti metode:

   • Podmožnosti (10–15) so rezervirane za potrdilo naprave po meri (CDC).
   • Največja dolžina možnosti DHCP 43 je 255 bajtov.
   • Največja dolžina strežnika + gesla za izzivanje mora biti manjša od 208 bajtov.
   • Vrednost načina FIPS je skladna s konfiguracijo vkrcanja. V nasprotnem primeru telefon po vkrcanju ne pridobi predhodno nameščenega potrdila. Posebej
     • Če bo telefon registriran v okolju, kjer je način FIPS onemogočen, vam ni treba konfigurirati parametra Način FIPS v možnosti DHCP 43. Način FIPS je privzeto onemogočen.
     • Če bo telefon registriran v okolju, v katerem je omogočen način FIPS, morate omogočiti način FIPS v možnosti DHCP 43. Za podrobnosti glejte Omogočanje načina FIPS.
   • Geslo v možnosti 43 je v čistem besedilu.

     Če je geslo za izziv prazno, telefon za začetno registracijo in podaljšanje potrdila uporabi MIC/SUDI. Če je geslo za izziv konfigurirano, se uporablja le za začetno registracijo, nameščeno potrdilo pa bo uporabljeno za obnovo potrdila.

   • Omogoči preverjanje pristnosti 802.1X in Izbira potrdila se uporabljata samo za telefone v žično omrežje.
   • Možnost DHCP 60 (identifikator razreda dobavitelja) se uporablja za identifikacijo modela naprave.

   V spodnji tabeli je primer možnosti DHCP 43 (podmožnosti 10–15):

   Podmožnost decimalno/šestnajstično	Dolžina vrednosti (bajt) decimalno/šestnajstično	Vrednost	Šestnajstna vrednost
   10/0a	1/01	1 (0: Onemogočen; 1: Omogočeno)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Št.: 1: Seveda)	01
   15/0f	1/01	1 (0: Nameščena proizvodnja; 1: Nameščeno po meri)	01

   Povzetek vrednosti parametrov:

   • Način FIPS = Omogočeno

   • Strežnik = http://10.79.57.91

   • Prstni odtis korenskega CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Geslo za izziv = D233CCF9B9952A15

   • Omogoči preverjanje pristnosti 802.1X = Da

   • Izbira potrdila = Nameščeno po meri

   Sintaksa končne šestnajstične vrednosti je: {<suboption><length><value>}...</value></length></suboption>

   Glede na zgornje vrednosti parametrov je končna šestnajstična vrednost naslednja:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurirajte možnost DHCP 43 v strežniku DHCP.
   Ta korak vsebuje primer konfiguracij možnosti DHCP 43 v omrežnem registru Cisco.
   1. Dodajte nabor definicij možnosti DHCP.

      Dobaviteljev izbirni niz je ime modela IP telefonov. Veljavna vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ali CP-8875.

   2. Dodajte možnost DHCP 43 in podmožnosti v nabor definicij možnosti DHCP.

      Primer:

      

   3. Pravilniku DHCP dodajte možnosti 43 in nastavite vrednost, kot sledi:

      Primer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Preverite nastavitve. Wireshark lahko uporabite za zajemanje sledi omrežnega prometa med telefonom in storitvijo.
4. Izvedite ponastavitev na tovarniške nastavitve telefona.

   Ko je telefon ponastavljen, bodo samodejno izpolnjeni parametri Strežnik, Prstni odtiskorenskega CA in Geslo za izziv. Ti parametri se nahajajo v razdelku Konfiguracija SCEP 1 iz Potrdilo > po meri na spletni strani za skrbništvo telefona.

   Če želite preveriti podrobnosti o nameščenem potrdilu, kliknite Ogled v razdelku Obstoječa potrdila .

   Če želite preveriti stanje namestitve potrdila, izberite Stanjepotrdila > potrdila po meri. Stanje prenosa 1 prikazuje najnovejši rezultat. Če med vpisom v potrdilo pride do težave, lahko stanje prenosa prikaže razlog za odpravljanje težav.

   Če preverjanje pristnosti gesla za izziv ne uspe, bodo uporabniki pozvani, da vnesejo geslo na zaslonu telefona.
5. (Neobvezno): Če želite odstraniti nameščeno potrdilo iz telefona, kliknite Izbriši v razdelku Obstoječa potrdila .
   Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.

Potrdilo naprave se lahko samodejno osveži s postopkom SCEP.

• Telefon vsake 4 ure preveri, ali bo potrdilo poteklo v 15 dneh. Če je tako, telefon samodejno zažene postopek podaljšanja potrdila.
• Če je geslo za izziv prazno, telefon uporablja MIC/SUDI za začetno registracijo in podaljšanje potrdila. Če je geslo za izziv konfigurirano, se uporablja samo za začetni vpis, obstoječe/nameščeno potrdilo pa se uporablja za podaljšanje potrdila.
• Telefon ne odstrani starega potrdila naprave, dokler ne pridobi novega.
• Če podaljšanje potrdila ne uspe, ker poteče potrdilo naprave ali potrdilo CA, telefon samodejno sproži začetno registracijo. Če preverjanje pristnosti gesla za izziv ne uspe, se na zaslonu telefona prikaže zaslon za vnos gesla in uporabniki so pozvani, da v telefon vnesejo geslo za izziv.

Telefoni Cisco IP podpirajo preverjanje pristnosti 802.1X.

Telefoni Cisco IP in stikala Cisco Catalyst tradicionalno uporabljajo protokol Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so dodeljevanje VLAN in zahteve za napajanje. CDP ne prepozna lokalno priključenih delovnih postaj. Telefoni Cisco IP zagotavljajo prehodni mehanizem EAPOL. Ta mehanizem omogoča delovni postaji, ki je priključena na Cisco IP telefon, da posreduje sporočila EAPOL v avtentifikator 802.1X na stikalu LAN. Prehodni mehanizem zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti končne točke podatkov pred dostopom do omrežja.

Telefoni Cisco IP ponujajo tudi mehanizem za odjavo proxyja EAPOL. Če se lokalno priključen računalnik prekine povezavo s telefonom IP, stikalo LAN ne opazi, da fizična povezava ne uspe, ker se povezava med stikalom LAN in telefonom IP ohrani. Da bi se izognili ogrožanju celovitosti omrežja, telefon IP pošlje stikalo EAPOL-Logoff v imenu nadaljnjega računalnika, ki sproži stikalo LAN, da počisti vnos za preverjanje pristnosti za nadaljnji računalnik.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

• Telefoni Cisco IP Telefon sproži zahtevo za dostop do omrežja. Telefoni Cisco IP vsebujejo prosilca 802.1X. Ta prosilec omogoča skrbnikom omrežja, da nadzorujejo povezljivost telefonov IP z vrati stikala LAN. Trenutna izdaja telefona 802.1X prosilec uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.

• Strežnik za preverjanje pristnosti: Strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki potrjuje preverjanje pristnosti telefona.

• Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo telefonu odobri ali zavrne dostop do omrežja.

Če želite konfigurirati 802.1X, morate izvesti ta dejanja.

• Konfigurirajte druge komponente, preden omogočite preverjanje pristnosti 802.1X v telefonu.

• Konfigurirajte vrata za računalnik: Standard 802.1X ne upošteva VLAN-ov in zato priporoča, da je treba na določena stikalna vrata preveriti samo eno napravo. Vendar pa nekatera stikala podpirajo preverjanje pristnosti z več domenami. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata računalnika v telefonu.

  • Omogočeno: Če uporabljate stikalo, ki podpira preverjanje pristnosti z več domenami, lahko omogočite vrata računalnika in z njim priključite računalnik. V tem primeru Cisco IP telefoni podpirajo proxy EAPOL-Logoff za spremljanje izmenjav preverjanja pristnosti med stikalom in priključenim računalnikom.

    Če želite več informacij o podpori za IEEE 802.1X za stikala Cisco Catalyst, glejte navodila za konfiguracijo stikala Cisco Catalyst na naslovu:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Onemogočen: Če stikalo ne podpira več naprav, združljivih s standardom 802.1X, na istih vratih, onemogočite vrata za računalnik, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanj priključiti računalnika, stikalo zavrne dostop do omrežja telefonu in računalniku.

• Konfigurirajte glasovno omrežje VLAN: Ker standard 802.1X ne upošteva omrežja VLAN, morate to nastavitev konfigurirati glede na podporo stikala.
  • Omogočeno: Če uporabljate stikalo, ki podpira preverjanje pristnosti z več domenami, lahko še naprej uporabljate glasovno omrežje VLAN.
  • Onemogočen: Če stikalo ne podpira preverjanja pristnosti z več domenami, onemogočite glasovno omrežje VLAN in razmislite o dodelitvi vrat izvornemu omrežju VLAN.
• (Samo za namizni telefon Cisco 9800 Series)

  Cisco Namizni telefon serije 9800 ima drugačno predpono v PID kot pri drugih telefonih Cisco. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radius· Parameter uporabniškega imena , ki vključuje namizni telefon Cisco serije 9800.

  Na primer, PID telefona 9841 je DP-9841; lahko nastavite Radius· Uporabniško ime, ki se začne z DP ali vsebuje DP. Nastavite ga lahko v obeh naslednjih razdelkih:

  • Pravilnik > pogoji > pogoji knjižnice

  • Pravilnik > nabori pravilnikov > pravilnik o avtorizaciji > pravilo o avtorizaciji 1

Ker lahko vse naprave WLAN, ki so v dosegu, sprejemajo ves drug promet WLAN, je zaščita glasovne komunikacije ključnega pomena pri WLAN-ih. Da bi zagotovili, da vsiljivci ne manipulirajo ali prestrežejo glasovnega prometa, arhitektura Cisco SAFE Security podpira telefon. Če želite več informacij o varnosti v omrežjih, glejte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html .

Rešitev Ciscove brezžične IP telefonije zagotavlja varnost brezžičnega omrežja, ki preprečuje nepooblaščene prijave in ogrožene komunikacije z uporabo teh načinov preverjanja pristnosti, ki jih podpira telefon:

• Odpiranje preverjanja pristnosti: Vsaka brezžična naprava lahko zahteva preverjanje pristnosti v odprtem sistemu. AP, ki prejme zahtevo, lahko odobri preverjanje pristnosti kateremu koli prosilcu ali samo prosilcem, ki so na seznamu uporabnikov. Komunikacija med brezžično napravo in dostopno točko (AP) je lahko nešifrirana.

• Razširljiv protokol za preverjanje pristnosti – prilagodljivo preverjanje pristnosti prek varnega tuneliranja (EAP-FAST) Preverjanje pristnosti: Ta varnostna arhitektura odjemalec-strežnik šifrira transakcije EAP v tunelu TLS (Transport Level Security) med AP in strežnikom RADIUS, kot je mehanizem za storitve identitete (ISE).

  Tunel TLS uporablja poverilnice za zaščiteni dostop (PAC) za preverjanje pristnosti med odjemalcem (telefonom) in strežnikom RADIUS. Strežnik pošlje ID organa (AID) odjemalcu (telefonu), ki nato izbere ustrezen PAC. Odjemalec (telefon) vrne PAC-Opaque strežniku RADIUS. Strežnik dešifrira PAC s primarnim ključem. Obe končni točki zdaj vsebujeta ključ PAC in ustvarjen je tunel TLS. EAP-FAST podpira samodejno omogočanje uporabe PAC, vendar ga morate omogočiti v strežniku RADIUS.

  V ISE PAC privzeto poteče v enem tednu. Če ima telefon potekel PAC, preverjanje pristnosti s strežnikom RADIUS traja dlje, medtem ko telefon dobi nov PAC. Če se želite izogniti zamudam pri omogočanju uporabe PAC, nastavite obdobje poteka PAC na 90 dni ali več v strežniku ISE ali RADIUS.

• Preverjanje pristnostiprotokola EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS zahteva odjemalsko potrdilo za preverjanje pristnosti in dostop do omrežja. Za brezžični EAP-TLS je lahko odjemalsko potrdilo MIC, LSC ali uporabniško nameščeno potrdilo.

• Zaščiteni razširljivi protokol za preverjanje pristnosti (PEAP): Ciscova lastniška shema medsebojnega preverjanja pristnosti na podlagi gesla med odjemalcem (telefonom) in strežnikom RADIUS. Telefon lahko uporablja PEAP za preverjanje pristnosti z brezžičnim omrežjem. Podprta sta načina preverjanja pristnosti PEAP-MSCHAPV2 in PEAP-GTC.

• Ključ v predhodni skupni rabi (PSK): Telefon podpira format ASCII. To obliko zapisa morate uporabiti pri nastavljanju ključa za vnaprejšnjo skupno rabo WPA/WPA2/SAE:

  ASCII: niz znakov ASCII z dolžino od 8 do 63 znakov (0–9, male in velike črke od A do Z ter posebni znaki)

  Primer: GREG123567@9ZX&W

Te sheme preverjanja pristnosti uporabljajo strežnik RADIUS za upravljanje ključev za preverjanje pristnosti:

• WPA/WPA2/WPA3: Uporablja podatke strežnika RADIUS za ustvarjanje enoličnih ključev za preverjanje pristnosti. Ker so ti ključi ustvarjeni v centraliziranem strežniku RADIUS, WPA2/WPA3 zagotavlja večjo varnost kot ključi WPA v vnaprejšnji skupni rabi, ki so shranjeni v dostopni točki in telefonu.

• Hitro varno gostovanje: Uporablja podatke o strežniku RADIUS in brezžičnem domenskem strežniku (WDS) za upravljanje in preverjanje pristnosti ključev. WDS ustvari predpomnilnik varnostnih poverilnic za odjemalske naprave, ki podpirajo FT, za hitro in varno ponovno preverjanje pristnosti. Cisco Namizni telefon 9861 in 9871 ter Cisco Video Phone 8875 podpirata 802.11r (FT). Podprta sta tako brezžična kot prek DS, kar omogoča hitro in varno gostovanje. Vendar pa toplo priporočamo uporabo metode 802.11r (FT) po zraku.

Z WPA / WPA2 / WPA3 šifrirni ključi niso vneseni v telefon, ampak se samodejno izpeljejo med AP in telefonom. Toda uporabniško ime in geslo EAP, ki se uporabljata za preverjanje pristnosti, je treba vnesti v vsak telefon.

Da bi zagotovili varnost glasovnega prometa, telefon podpira šifriranje TKIP in AES. Ko se ti mehanizmi uporabljajo za šifriranje, so tako signalni paketi SIP kot glasovni paketi RTP (Real-Time Transport Protocol) šifrirani med AP in telefonom.

TKIP

WPA uporablja šifriranje TKIP, ki ima več izboljšav v primerjavi z WEP. TKIP zagotavlja šifriranje ključa na paket in daljše inicializacijske vektorje (IV), ki krepijo šifriranje. Poleg tega preverjanje celovitosti sporočil (MIC) zagotavlja, da se šifrirani paketi ne spreminjajo. TKIP odstrani predvidljivost WEP, ki vsiljivcem pomaga dešifrirati ključ WEP.

AES

Metoda šifriranja, ki se uporablja za preverjanje pristnosti WPA2/WPA3. Ta nacionalni standard za šifriranje uporablja simetrični algoritem, ki ima enak ključ za šifriranje in dešifriranje. AES uporablja šifriranje CBC (Cipher Blocking Chain) velikosti 128 bitov, ki podpira velikosti ključev najmanj 128 bitov, 192 bitov in 256 bitov. Telefon podpira velikost ključa 256 bitov.

Sheme preverjanja pristnosti in šifriranja so nastavljene v brezžičnem omrežju LAN. Omrežja VLAN so konfigurirana v omrežju in na dostopnih točkah ter določajo različne kombinacije preverjanja pristnosti in šifriranja. SSID je povezan z omrežjem VLAN in določeno shemo preverjanja pristnosti in šifriranja. Za uspešno preverjanje pristnosti brezžičnih odjemalskih naprav morate konfigurirati iste SSID-je s shemami preverjanja pristnosti in šifriranja na dostopnih točkah in telefonu.

Nekatere sheme preverjanja pristnosti zahtevajo posebne vrste šifriranja.

Sheme preverjanja pristnosti in šifriranja v spodnji tabeli prikazujejo možnosti konfiguracije omrežja za telefon, ki ustreza konfiguraciji AP.