我有许多思科IP电话以以下方式运作(过于简化):
这里的问题是我有一些电话需要放在小办公室或人民的家中。 我需要能够随时更新configuration文件,所以我不能预先configuration手机并发送出去。 如何通过互联网使TFTP访问安全,并防止有人未经授权访问configuration文件? 我知道我可以做一个基于IP的ACL,但这并不能阻止某人欺骗IP的可能性。
您将通过互联网安全地访问TFTP,就像您通过互联网安全访问任何东西一样。 通过一个VPN。
思科的IP电话可以设置为使用VPN ,甚至有人甚至可以把一个方便的文档放在这个设置的常见问题上,你可能想看看 。
那么你不能这样做。 你已经拒绝了允许validation请求者(hcsteve的答案)的另一个协议,并且你已经拒绝了一个允许TFTP通过authentication服务隧道化的VPN(Hopeless N00b。*的答案),所以你被卡在股票TFTP。
RFC 1350在第1节中明确指出身份validation不是一个选项:
[TFTP]唯一可以做的是从/向远程服务器读写文件(或邮件)。 它不能列出目录,目前没有用户authentication的规定。
如果你坚持认为configuration文件不是无差别的,你将需要重新考虑你的架构。
思科Small Business(SPA3xx,SPA5xx)电话支持通过HTTPS进行相互SSLauthentication的configuration – 客户端可以authenticationconfiguration服务器,服务器也可以根据客户端的内置证书对客户端进行authentication。 这是通过互联网安全地完成的方式 – 忘记TFTP。 请参阅思科完整的configuration指南 – 这里张贴太多的信息。
互联网上的TFTP从来不是一个好的方法。 你会遇到几个与防火墙,NAT和超时相关的终止传输的问题。 考虑到你的限制,你可能应该考虑使用小型便携式TFTP服务器来安全地分发(即密码保护下载)电话configuration文件; 那么当需要更新时,正在更新的电话将使用reqd conf文件find本地托pipe的TFTP服务器。
问这个问题:Vonage是如何做的? 如果你为了钱而做某事,你最好有一些安全措施。 我确定他们一直在升级基础设施。
如果您不关心员工家中的安全性,设置连接到公司VPN的路由器可能会有用。 连接你的IP电话。