Les bases de la mise en service
Utilisation de la fonctionnalité HTTPS
Guide d'administration des téléphones IP des gammes SPA 300, SPA 500 et du modèle WIP310 Cisco Small Business
Certificats serveur
Chaque serveur de mise en service sécurisé émet un certificat SSL (Secure
Sockets Layer), directement signé par Cisco. Le microprogramme des clients du
téléphone IP Cisco ne reconnaît que ces certificats comme certificats valides. Les
clients tentent d'authentifier le certificat du serveur lors de la connexion via HTTPS
et refusent tout certificat de serveur non signé par Cisco.
Ce mécanisme permet de protéger le prestataire de services face à un éventuel
accès non autorisé au terminal téléphonique IP Cisco, ou face à toute tentative
d'usurpation du serveur de mise en service. Cela pourrait permettre au pirate de
remettre en service le téléphone IP Cisco afin d'obtenir les informations de
configuration, ou d'utiliser un service VoIP différent. En l'absence de la clé privée
correspondant à un certificat de serveur valide, le pirate ne peut pas établir la
communication avec un téléphone IP Cisco.
Certificats client
Outre une attaque directe sur le téléphone IP Cisco, un pirate pourrait essayer de
contacter un serveur de mise en service à l'aide d'un navigateur Web standard ou
d'un autre client HTTPS pour obtenir le profil de configuration du téléphone IP
Cisco présent sur le serveur de mise en service. Afin d'empêcher ce genre
d'attaque, chaque téléphone IP Cisco dispose également d'un certificat client
unique signé par Cisco, y compris les informations d'identification relatives à
chaque terminal individuel. Un certificat racine de l'Autorité de certification
capable d'authentifier le certificat client du périphérique est fourni à chaque
prestataire de services. Ce chemin d'authentification permet au serveur de mise
en service de refuser les requêtes non autorisées pour des profils de
configuration.
6
177