Как я могу защитить TFTP-сервер с выходом в Интернет?

У меня много IP-телефонов Cisco, которые работают следующим образом (упрощенно):

Согласуйте с DHCP для IP, DNS, TFTP и т. Д.
Найдите файл конфигурации SEPXXXXXXXXXXXX.cnf.xml на сервере TFTP, где X - MAC-адрес телефона.
При необходимости проанализируйте файл конфигурации, чтобы загрузить его конфигурацию и обновить прошивку (также хранящуюся на сервере TFTP).

Проблема здесь в том, что у меня есть телефоны, которые нужно ставить в небольших офисах или в домах людей. Мне нужно постоянно обновлять файлы конфигурации, поэтому я не могу просто предварительно настроить телефон и отправить его. Как я могу сделать доступ TFTP безопасным через Интернет и предотвратить несанкционированный доступ к файлам конфигурации? Я знаю, что могу создать ACL на основе IP, но это не исключает возможности подмены IP.

Вы должны сделать доступ по протоколу TFTP через Интернет безопасным так же, как и доступ ко всему через Интернет. Пройдя через VPN.

IP-телефоны Cisco можно настроить для использования VPN., а кто-то даже собрал удобный документ об общих проблемах с этой настройкой, на который вы, возможно, захотите взглянуть.

Тогда ты не сможешь этого сделать. Вы отклонили другой протокол, который разрешает аутентификацию запрашивающего (ответ hcsteve), и вы отклонили VPN, которая позволила бы туннелировать TFTP через аутентифицированную службу (ответ Hopeless N00b. *), Поэтому вы застряли с стоковый TFTP.

RFC 1350 в разделе 1 довольно ясно сказано, что аутентификация не подходит:

Единственное, что может делать [TFTP], - это читать и записывать файлы (или почту) с / на удаленный сервер. Он не может отображать каталоги и в настоящее время не имеет условий для аутентификации пользователей.

Если вы настаиваете на том, чтобы файлы конфигурации не были доступны без разбора, вам нужно будет переосмыслить свою архитектуру.

Телефоны Cisco для малого бизнеса (SPA3xx, SPA5xx) поддерживают подготовку по протоколу HTTPS с взаимной проверкой подлинности SSL - клиент может аутентифицировать сервер инициализации, а сервер также может аутентифицировать клиента на основе встроенного сертификата клиента. Это способ сделать это безопасно через Интернет - забудьте о TFTP. Увидеть полное руководство по настройке от Cisco - слишком много информации, чтобы размещать здесь.

TFTP через Интернет никогда не бывает хорошим подходом. вы столкнетесь с несколькими проблемами с брандмауэрами, NAT и прерванными передачами, связанными с тайм-аутом. Учитывая ваши ограничения, вероятно, вам следует подумать о безопасном распространении (т. Е. Защищенной паролем загрузки) файла конфигурации телефона с небольшим портативным TFTP-сервером; затем, когда требуется обновление, обновляемый телефон найдет локальный сервер TFTP с файлом reqd conf.

Задайте этот вопрос: как Vonage это делает? Если вы делаете что-то ради денег, вам лучше позаботиться о безопасности. Я уверен, что они постоянно обновляют инфраструктуру.

Если вас не беспокоит безопасность в доме сотрудников, может оказаться полезным маршрутизатор, настроенный для подключения к корпоративной сети VPN. Подключите к нему свой IP-телефон.