Cisco IP безпека телефону

Окрім реєстрації сертифіката SCEP за допомогою ручних конфігурацій на веб-сторінці телефону, ви також можете використовувати параметр DHCP 43 для заповнення параметрів із сервера DHCP. Параметр 43 DHCP попередньо налаштований з параметрами SCEP, пізніше телефон може отримати параметри з сервера DHCP для виконання реєстрації сертифіката SCEP.

Щоб зареєструвати сертифікат SCEP, налаштувавши параметри SCEP у варіанті 43 DHCP, виконайте такі дії:

1. Підготуйте середовище SCEP.

   Для отримання інформації про налаштування середовища SCEP зверніться до документації вашого сервера SCEP.

2. Налаштуйте параметр 43 DHCP (визначено в розділі 8.4 «Специфічна інформація для постачальника», RFC 2132).

   Підпараметри (10–15) зарезервовані для методу:

   Параметр на веб-сторінці телефону	Підваріант	Тип	Довжина (байт)	Обов’язково
   Режим FIPS	10	Логічні	1	Ні*
   Сервер	11	Рядок	208 - довжина (Пароль виклику)	Так
   Корінь ЦС Відбиток пальця	12	двійковий	20 або 32	Так
   Пароль виклику	13	Рядок	208 - довжина (Сервер)	Ні*
   Увімкніть аутентифікацію 802.1X	14	Логічні	1	Ні
   Вибір сертифіката	15	8-біт без знаку	1	Ні

   При використанні варіанту DHCP 43 зверніть увагу на наступні характеристики методу:

   • Підпараметри (10–15) зарезервовано для сертифіката користувацького пристрою (CDC).
   • Максимальна довжина варіанту DHCP 43 становить 255 байт.
   • Максимальна довжина пароля Server + Challenge має бути меншою за 208 байт.
   • Значення режиму FIPS має відповідати конфігурації ініціалізації вбудованого обладнання. В іншому випадку телефону не вдасться відновити раніше встановлений сертифікат після підключення. Специфічно
     • Якщо телефон буде зареєстрований у середовищі, де режим FIPS вимкнено, вам не потрібно налаштовувати параметр FIPS Mode у варіанті DHCP 43. За замовчуванням режим FIPS вимкнено.
     • Якщо телефон буде зареєстровано в середовищі, де ввімкнено режим FIPS, необхідно ввімкнути режим FIPS у варіанті DHCP 43. Дивіться розділ Увімкнення режиму FIPS для отримання детальної інформації.
   • Пароль у варіанті 43 вказано у відкритому тексті.

     Якщо пароль виклику порожній, телефон використовує MIC/SUDI для початкової реєстрації та поновлення сертифіката. Якщо пароль виклику налаштовано, він використовується лише для початкової реєстрації, а встановлений сертифікат буде використовуватися для продовження сертифіката.

   • Увімкнути аутентифікацію 802.1X і вибір сертифіката використовуються лише для телефонів, підключених до дротової мережі.
   • Для ідентифікації моделі пристрою використовується DHCP варіант 60 (ідентифікатор класу постачальника).

   У наступній таблиці наведено приклад варіанту 43 DHCP (підваріанти 10–15):

   Підпараметр десятковий/шістнадцятковий	Довжина значення (байт) десяткове/шістнадцяткове	Значення	Шістнадцяткове значення
   10/0А	1/01	1 (0: вимкнено; 1: увімкнено)	01
   11/0Б	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0С	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0д	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ні; 1: Так)	01
   15/0f	1/01	1 (0: Виробництво встановлено; 1: Встановлено на замовлення)	01

   Підсумок значень параметрів:

   • Режим FIPS = Увімкнено

   • Сервер = http://10.79.57.91

   • Відбиток кореневого ЦС = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Пароль виклику = D233CCF9B9952A15

   • Увімкнути аутентифікацію 802.1X = Так

   • Вибір сертифіката = Встановлено на замовлення

   Синтаксис кінцевого шістнадцяткового значення: {<suboption><length><value>}...

   Відповідно до наведених вище значень параметрів, кінцеве шістнадцяткове значення виглядає наступним чином:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Налаштуйте параметр 43 DHCP на DHCP сервері.
   На цьому кроці наведено приклад конфігурації параметра DHCP 43 у Cisco Network Register.
   1. Додайте набір визначень параметра DHCP.

      Рядок опції постачальника – це назва моделі телефонів IP. Допустиме значення: DP-9841, DP-9851, DP-9861, DP-9871 або CP-8875.

   2. Додайте параметр DHCP 43 та підпараметри до набору визначень параметра DHCP.

      Приклад:

      

   3. Додайте опції 43 до політики DHCP і налаштуйте значення наступним чином:

      Приклад:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Перевірте налаштування. Ви можете використовувати Wireshark для фіксації слідів мережевого трафіку між телефоном і сервісом.
4. Виконайте скидання до заводських налаштувань телефону.

   Після скидання налаштувань телефону параметри Server, Root CA, Fingerprint і Challenge Password будуть заповнені автоматично. Ці параметри знаходяться в розділі SCEP Configuration 1 від Certificate > Custom на веб-сторінці адміністрації телефону.

   Щоб перевірити відомості про встановлений сертифікат, натисніть «Переглянути » в розділі «Існуючі сертифікати ».

   Щоб перевірити статус інсталяції сертифіката, виберіть Сертифікат > Настроюваний статус сертифіката. Статус завантаження 1 показує останній результат. Якщо під час реєстрації сертифіката виникає будь-яка проблема, у статусі завантаження може відображатися причина проблеми для усунення неполадок.

   Якщо автентифікація за допомогою пароля виклику не пройде, користувачам буде запропоновано ввести пароль на екрані телефону.
5. (Необов'язково): щоб видалити встановлений сертифікат із телефону, натисніть Видалити в розділі Наявні сертифікати .
   Як тільки ви натиснете кнопку, операція видалення почнеться негайно без підтвердження.

Сертифікат пристрою може бути автоматично поновлений за допомогою процесу SCEP.

• Телефон кожні 4 години перевіряє, чи закінчиться термін дії сертифіката через 15 днів. Якщо так, телефон автоматично розпочне процес оновлення сертифіката.
• Якщо пароль виклику порожній, телефон використовує MIC/SUDI як для початкової реєстрації, так і для поновлення сертифіката. Якщо пароль виклику налаштований, він використовується лише для початкової реєстрації, існуючий/встановлений сертифікат використовується для продовження сертифіката.
• Телефон не видаляє старий сертифікат пристрою, доки не отримає новий.
• Якщо не вдається оновити сертифікат через закінчення терміну дії сертифіката пристрою або центру сертифікації, телефон автоматично ініціює початкову реєстрацію. Тим часом, якщо автентифікація за допомогою пароля виклику не вдається, на екрані телефону з'являється екран введення пароля, і користувачам пропонується ввести пароль виклику на телефоні.

IP-телефони Cisco підтримують автентифікацію 802.1X.

Як правило, IP-телефони Cisco й комутатори Cisco Catalyst використовують протокол Cisco Discovery Protocol (CDP) для взаємної ідентифікації та визначення таких параметрів, як розподіл VLAN і вимоги до живлення через лінію. CDP не ідентифікує локально під’єднані робочі станції. IP-телефони Cisco IP Phones забезпечують механізм фільтрації EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефона Cisco, передавати повідомлення EAPOL автентифікатору 802.1X на комутаторі локальної мережі. Механізм фільтрації гарантує, що IP-телефон не працюватиме як комутатор локальної мережі для автентифікації кінцевої точки даних, перш ніж отримає доступ до мережі.

IP-телефони Cisco також підтримують надсилання повідомлення EAPOL Logoff через проксі-сервер. Якщо локально під’єднаний ПК відключається від IP-телефона, комутатор локальної мережі не бачить збою фізичного зв’язку, тому що з’єднання між комутатором локальної мережі й IP-телефоном зберігається. Щоб уникнути порушення цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені низхідного ПК, після чого комутатор локальної мережі видаляє запис про автентифікацію цього ПК.

Для роботи автентифікації 802.1X потрібно кілька компонентів:

• IP-телефон Cisco. Телефон ініціює запит на доступ до мережі. IP-телефони Cisco обладнано запитувачем 802.1X. За його допомогою адміністратори мережі можуть контролювати підключення IP-телефонів до портів комутатора LAN. Поточний випуск запитувача 802.1X телефона використовує для автентифікації в мережі параметри EAP-FAST та EAP-TLS.

• Сервер автентифікації: сервер автентифікації та комутатор мають бути налаштовані зі спільним секретом, який автентифікує телефон.

• Комутатор. Комутатор має підтримувати стандарт 802.1X, щоб виконувати роль автентифікатора й передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну комутатор надає або блокує телефону доступ до мережі.

Щоб налаштувати 802.1X:

• Налаштуйте решту компонентів, перш ніж вмикати автентифікацію 802.1X на телефоні.

• Налаштуйте порт ПК. Стандарт 802.1X не враховує VLAN, а тому рекомендовано автентифікувати лише один пристрій для конкретного порту комутатора. Однак деякі комутатори підтримують багатодоменну автентифікацію. Конфігурація комутатора визначає, чи можна підключити ПК до порту ПК телефона.

  • Увімкнення. Якщо ви використовуєте комутатор, який підтримує багатодоменну автентифікацію, то можете ввімкнути порт ПК та підключити до нього ПК. Для таких випадків IP-телефони Cisco підтримують надсилання EAPOL-Logoff через проксі-сервер, щоб стежити за обміном автентифікацією між комутатором і підключеним ПК.

    Додаткові відомості про підтримку стандарту IEEE 802.1X на комутаторах Cisco Catalyst див. в посібниках із конфігурації комутатора Cisco Catalyst за адресою:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Вимкнення. Якщо комутатор не підтримує на одному порту кілька пристроїв, сумісних зі стандартом 802.1X, то в разі ввімкнення автентифікації 802.1X потрібно вимикати порт ПК. Якщо ви не вимкнете цей порт, а потім спробуєте під’єднати до нього ПК, комутатор відмовить у доступі до мережі як телефону, так і ПК.

• Налаштуйте голосову VLAN. Стандарт 802.1X не враховує VLAN, а тому вам потрібно налаштовувати цей параметр залежно від підтримки комутатора.
  • Підтримується. Якщо ваш комутатор підтримує багатодоменну автентифікацію, то можете використовувати його й надалі для голосової VLAN.
  • Не підтримується. Якщо ваш комутатор не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і призначте порт нативній мережі VLAN.
• (Лише для настільних телефонів Cisco серії 9800)

  Cisco Desk Phone серії 9800 має інший префікс у PID, ніж для інших телефонів Cisco. Щоб ваш телефон пройшов автентифікацію 802.1X, встановіть радіус · User-Name , щоб включити ваш настільний телефон Cisco серії 9800.

  Наприклад, PID телефону 9841 – DP-9841; ви можете встановити Радіус· ім'я користувача для початку з DP або містить DP. Ви можете встановити його в обох наступних розділах:

  • Політика > Умови > Умови бібліотеки

  • Політика > Набори політик> Політика авторизації> Правило авторизації 1