インターネットに接続しているTFTPサーバーを安全にするにはどうすればよいですか?
次のように動作するCisco IP Phoneがたくさんあります(単純化しすぎています)。
- IP、DNS、TFTPなどのDHCPとネゴシエートします。
- TFTPサーバーでSEPXXXXXXXXXXXX.cnf.xml構成ファイルを探します。Xは電話のMACアドレスです。
- 必要に応じて、構成ファイルを解析して構成をロードし、ファームウェア(TFTPサーバーにも格納されている)を更新します。
ここでの問題は、小規模なオフィスや人々の家に置く必要のある電話がいくつかあることです。電話を事前に構成して送信できないように、構成ファイルを常に更新できるようにする必要があります。 TFTPアクセスをインターネット経由で安全にして、許可されていない人が設定ファイルにアクセスできないようにするにはどうすればよいですか?私はIPベースのACLを実行できることを知っていますが、これは誰かがIPを偽装する可能性を阻止しません。
インターネットを介したTFTPアクセスは、インターネットを介したあらゆるものへのアクセスをセキュアにするのと同じ方法でセキュアにします。 VPNを経由する。
CiscoのIP電話はVPNを使用するように設定できます 、そして誰かがまとめることもできます この設定でよく見られる問題に関する便利なドキュメント 。
その後、それを行うことはできません。リクエスタの認証を許可する別のプロトコル(hcsteveの回答)を拒否し、TFTPが認証済みサービスを介してトンネルされることを許可するVPN(Hopeless N00b。*の回答)を拒否したため、ストックTFTP。
RFC 135 は、セクション1で、認証がオプションではないことをかなり明確にします。
[TFTP]でできることは、リモートサーバーとの間でファイル(またはメール)を読み書きすることだけです。ディレクトリを一覧表示することはできません。現在、ユーザー認証は提供されていません。
構成ファイルが無差別に利用可能ではないと主張する場合は、アーキテクチャを再考する必要があります。
Cisco Small Business(SPA3xx、SPA5xx)の電話は、相互SSL認証を使用したHTTPSを介したプロビジョニングをサポートしています。クライアントはプロビジョニングサーバーを認証でき、サーバーはクライアントの組み込み証明書に基づいてクライアントを認証できます。これは、インターネット上で安全に行う方法です。TFTPのことは忘れてください。シスコからの フルプロビジョニングガイド を参照してください-ここに投稿するには情報が多すぎます。
インターネット経由のTFTPは決して良いアプローチではありません。ファイアウォール、NAT、およびタイムアウト関連の中止された転送でいくつかの問題が発生します。制約を考慮すると、フットプリントの小さいポータブルTFTPサーバーで電話設定ファイルを安全に配布する(つまり、パスワードで保護されたダウンロード)ことを考える必要があります。次に、更新が必要な場合、更新中の電話機は、ローカルでホストされているTFTPサーバーをreqd confファイルで見つけます。