get*_*uce 6 security cisco firewall access-control-list tftp
我有许多 Cisco IP 电话以以下方式运行(过于简化):
这里的问题是我有一些电话需要放在小型办公室或人们的家中。我需要能够随时更新配置文件,所以我不能只是预先配置手机并将其发送出去。如何通过 Internet 确保 TFTP 访问安全并防止未经授权的人访问配置文件?我知道我可以执行基于 IP 的 ACL,但这并不能阻止有人欺骗 IP 的可能性。
Hop*_*00b 13
您可以使通过 Internet 进行的 TFTP 访问安全,就像通过 Internet 访问任何内容一样安全。通过VPN。
Cisco 的 IP 电话可以设置为使用 VPN,有人甚至围绕此设置的常见问题整理了一份方便的文档,您可能想查看一下。
Mad*_*ter 10
那你做不到。您拒绝了另一个允许对请求者进行身份验证的协议(hcsteve 的回答),并且您拒绝了允许 TFTP 通过经过身份验证的服务进行隧道传输的 VPN(Hopeless N00b.* 的回答),因此您被困在了股票 TFTP。
RFC 1350在第 1 节中相当清楚地表明,身份验证不是一种选择:
[TFTP] 唯一能做的就是从/向远程服务器读取和写入文件(或邮件)。它不能列出目录,目前没有对用户身份验证的规定。
如果您坚持不能随意使用配置文件,您将需要重新考虑您的架构。