Tenho muitos telefones IP da Cisco que operam da seguinte maneira (simplificados demais):
A questão aqui é que tenho alguns telefones que precisam ser colocados em pequenos escritórios ou lares de pessoas. Eu preciso ser capaz de atualizar os arquivos de configuração em todos os momentos, então eu não posso apenas pré-configurar o telefone e enviá-lo para fora. Como posso tornar o acesso TFTP seguro pela Internet e impedir que alguém não autorizado acesse os arquivos de configuração? Eu sei que eu poderia fazer um ACL baseado em IP, mas isso não impede a possibilidade de alguém falsificar o IP.
Você tornaria o acesso TFTP pela Internet seguro da mesma forma que tornaria seguro o acesso a qualquer coisa na Internet. Ao passar por uma VPN.
Cisco Telefones IP podem ser configurados para usar uma VPN , e até mesmo alguém coloca juntos um documento útil em torno de problemas comuns com esta configuração que você pode querer dar uma olhada em .
Então você não pode fazer isso. Você rejeitou outro protocolo que permite autenticar o solicitante (resposta da hcsteve) e você rejeitou uma VPN que teria permitido que o TFTP fosse encapsulado através de um serviço autenticado (resposta do Hopeless N00b. *), Então você está preso com stock TFTP.
RFC 1350 deixa bem claro, na seção 1, que a autenticação não é uma opção:
The only thing [TFTP] can do is read and write files (or mail) from/to a remote server. It cannot list directories, and currently has no provisions for user authentication.
Se você insistir que os arquivos de configuração não estejam indiscriminadamente disponíveis, será necessário repensar sua arquitetura.
Os telefones Cisco Small Business (SPA3xx, SPA5xx) suportam o provisionamento via HTTPS com autenticação mútua SSL - o cliente pode autenticar o servidor de provisionamento e o servidor também pode autenticar o cliente com base no certificado interno do cliente. Essa é a maneira de fazer isso de forma segura pela Internet - esqueça o TFTP. Consulte o guia de aprovisionamento completo da Cisco - é muita informação para postar aqui.
O TFTP na Internet nunca é uma boa abordagem. você terá vários problemas com firewalls, NAT e transferências abortadas relacionadas ao tempo limite. Considerando suas restrições, provavelmente você deve pensar em distribuir com segurança (ou seja, um download protegido por senha) o arquivo de configuração do telefone com um servidor TFTP portátil de pequena pegada; então, quando a atualização for necessária, o telefone que está sendo atualizado encontrará um servidor TFTP hospedado localmente com o arquivo reqdconf.
Faça essa pergunta: como a Vonage faz isso? Se você faz algo por dinheiro, é melhor ter alguma segurança no lugar. Tenho certeza de que eles atualizam a infraestrutura o tempo todo.
Se você não estiver preocupado com a segurança dentro dos funcionários, um roteador configurado para se conectar à VPN da empresa pode ser útil. Conecte seu telefone IP a isso.