我有许多思科 IP 电话,其操作方式如下(过于简单):
- 与 DHCP 协商 IP、DNS、TFTP 等。
- 在 TFTP 服务器上查找 SEPXXXXXXXXXXXX.cnf.xml 配置文件,其中 X 是电话的 MAC 地址
- 解析配置文件以加载其配置并在必要时更新固件(也存储在 TFTP 服务器上)
这里的问题是,我有一些手机需要放在小型办公室或人们的家里。我需要能够随时更新配置文件,这样我就不能只是预先配置手机并将其发送出去。我怎样才能确保 TFTP 访问在互联网上是安全的,并防止未经授权的人获取配置文件?我知道我可以做一个基于 IP 的 ACL,但这并不能阻止有人欺骗 IP 的可能性。
答案1
您可以通过 VPN 确保通过互联网访问 TFTP 的安全性,就像确保通过互联网访问任何内容的安全性一样。
答案2
那么你就做不到。你拒绝了允许对请求者进行身份验证的另一个协议(hcsteve 的回答),并且你拒绝了允许 TFTP 通过经过身份验证的服务进行隧道传输的 VPN(Hopeless N00b.* 的回答),所以你只能使用普通的 TFTP。
RFC 1350在第 1 节中明确指出,身份验证不是一种选项:
[TFTP] 唯一能做的就是从远程服务器读取文件(或邮件)或将文件(或邮件)写入远程服务器。它无法列出目录,目前也没有提供用户身份验证功能。
如果您坚持认为配置文件不能被随意使用,那么您将需要重新考虑您的架构。
答案3
Cisco Small Business (SPA3xx、SPA5xx) 电话支持通过 HTTPS 进行相互 SSL 身份验证的配置 - 客户端可以对配置服务器进行身份验证,服务器也可以根据客户端的内置证书对客户端进行身份验证。这是通过互联网安全地进行配置的方法 - 忘记 TFTP。请参阅完整配置指南来自思科 - 这里发布的信息太多了。
答案4
问这个问题:Vonage 是如何做到的?如果你是为了钱而做某事,你最好有一些安全措施。我相信他们一直在升级基础设施。
如果您不太担心员工家里的安全,那么设置一个连接到公司 VPN 的路由器可能会很有用。将您的 IP 电话连接到该路由器。