- Inicio
- /
- Artículo
Cisco IP seguridad telefónica
Este artículo de ayuda es para Cisco Desk Phone 9800 Series y Cisco Video Phone 8875 registrados en Cisco BroadWorks.
Instalar manualmente el certificado de dispositivo personalizado
Puede instalar manualmente un certificado de dispositivo personalizado (CDC) en el teléfono cargando el certificado desde la página web de administración del teléfono.
Antes de comenzar
Para poder instalar un certificado de dispositivo personalizado para un teléfono, debe tener:
- Un archivo de certificado (.p12 o .pfx) guardado en su PC. El archivo contiene el certificado y la clave privada.
- La contraseña de extracción del certificado. La contraseña se utiliza para descifrar el archivo de certificado.
1 |
Acceda a la página web de administración del teléfono. |
2 |
Seleccione Certificado. |
3 |
En la sección Agregar certificado , haga clic en Examinar.... |
4 |
Busque el certificado en la PC. |
5 |
En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado. |
6 |
Haga clic en Upload (Cargar). Si el archivo de certificado y la contraseña son correctos, recibirá el mensaje "
Certificado agregado". De lo contrario, se produce un error en la carga y aparece un mensaje de error que indica que no se puede cargar el certificado. |
7 |
Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes. |
8 |
Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes. Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.
Si el certificado se quita correctamente, recibirá el mensaje " |
Instalar automáticamente el certificado de dispositivo personalizado por SCEP
Puede configurar los parámetros del Protocolo simple de inscripción de certificados (SCEP) para instalar automáticamente el certificado de dispositivo personalizado (CDC) si no desea cargar manualmente el archivo de certificado o si no tiene el archivo de certificado en su lugar.
Cuando los parámetros SCEP están configurados correctamente, el teléfono envía solicitudes al servidor SCEP y el certificado de CA se valida por dispositivo utilizando la huella digital definida.
Antes de comenzar
Para poder realizar una instalación automática de un certificado de dispositivo personalizado para un teléfono, debe tener:
- Dirección del servidor SCEP
- Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP
1 |
Acceda a la página web de administración del teléfono. |
2 |
Seleccione Certificado. |
3 |
En la sección Configuración SCEP 1 , establezca los parámetros como se describe en la siguiente tabla Parámetros para la configuración de SCEP. |
4 |
Haga clic en Submit All Changes. |
Parámetros para la configuración de SCEP
En la tabla siguiente se definen la función y el uso de los parámetros de configuración de SCEP en la sección Configuración SCEP 1 de la ficha Certificado de la interfaz Web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.
Parámetro | Descripción |
---|---|
Servidor |
Dirección del servidor SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Valores válidos: una dirección URL o IP. No se admite el esquema HTTPS. Valor predeterminado: Empty (Vacío) |
Huella digital de CA raíz |
Huella digital SHA256 o SHA1 de la CA raíz para validación durante el proceso SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Contraseña de desafío |
La contraseña de desafío para Certificate Authority autorización (CA) contra el teléfono durante una inscripción de certificado a través de SCEP. Este parámetro es opcional. Según el entorno SCEP real, el comportamiento de la contraseña de desafío varía.
Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Configuración de parámetros SCEP mediante DHCP opción 43
Además de la inscripción del certificado SCEP mediante las configuraciones manuales de la página web del teléfono, también puede utilizar la opción de DHCP 43 para rellenar los parámetros desde un servidor DHCP. La opción DHCP 43 está preconfigurada con los parámetros SCEP, posteriormente el teléfono puede obtener los parámetros del servidor DHCP para realizar la inscripción del certificado SCEP.
- La configuración de los parámetros SCEP a través de DHCP opción 43 solo está disponible para el teléfono donde se realiza un restablecimiento de fábrica.
- Los teléfonos no deben colocarse en la red que admita tanto la opción 43 como el aprovisionamiento remoto (por ejemplo, las opciones 66,160,159,150 o el aprovisionamiento en la nube). De lo contrario, es posible que los teléfonos no obtengan las configuraciones de la opción 43.
Para inscribir un certificado SCEP configurando los parámetros SCEP en la opción 43 DHCP, haga lo siguiente:
- Prepare un entorno SCEP.
Para obtener información acerca de la configuración del entorno SCEP, consulte la documentación del servidor SCEP.
- Configure DHCP opción 43 (definida en 8.4 Información específica del proveedor, RFC 2132).
Las subopciones (10–15) están reservadas para el método:
Parámetro en la página web del teléfono Subopción Tipo Longitud (byte) Obligatorio Modo FIPS 10 booleano 1 No* Servidor 11 cadena 208 - longitud (Contraseña de desafío) Sí Huella digital de CA raíz 12 binario 20 o 32 Sí Contraseña de desafío 13 cadena 208 - longitud (Servidor) No* Habilitación de la autenticación de 802.1X 14 booleano 1 No Selección de certificado 15 8 bits sin firmar 1 No Cuando utilice el DHCP opción 43, observe las siguientes características del método:
- Las subopciones (10–15) están reservadas para el certificado de dispositivo personalizado (CDC).
- La longitud máxima de DHCP opción 43 es de 255 bytes.
- La longitud máxima de Server + Challenge Password debe ser inferior a 208 bytes.
- El valor del modo FIPS debe ser coherente con la configuración de aprovisionamiento de incorporación. De lo contrario, el teléfono no podrá recuperar el certificado instalado previamente después de la incorporación. Específicamente
- Si el teléfono se va a registrar en un entorno donde el modo FIPS está deshabilitado, no es necesario configurar el parámetro Modo FIPS en DHCP opción 43. De forma predeterminada, el modo FIPS está deshabilitado.
- Si el teléfono se va a registrar en un entorno donde el modo FIPS está habilitado, debe habilitar el modo FIPS en DHCP opción 43. Consulte Habilitar el modo FIPS para obtener más información.
- La contraseña de la opción 43 está en texto no cifrado.
Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI para la inscripción inicial y la renovación del certificado. Si la contraseña de desafío está configurada, solo se usa para la inscripción inicial y el certificado instalado se usará para la renovación del certificado.
- Habilitar autenticación 802.1X y Selección de certificado se utilizan únicamente para los teléfonos de red cableada.
- DHCP opción 60 (Identificador de clase de proveedor) se utiliza para identificar el modelo de dispositivo.
En el cuadro siguiente se ofrece un ejemplo de DHCP opción 43 (subopciones 10 a 15):
Subopción decimal/hexadecimal Longitud del valor (byte) decimal/hexadecimal Valor Valor hexadecimal 10/0a 1/01 1 (0: deshabilitado; 1: habilitado) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: No; 1: Sí) 01 15/0f 1/01 1 (0: fabricación instalada; 1: instalación personalizada) 01 Resumen de los valores de los parámetros:
-
Modo FIPS =
Habilitado
-
Servidor =
http://10.79.57.91
-
Huella digital de CA raíz =
12040870625C5B755D73F5925285F8F5FF5D55AF
-
Contraseña de desafío =
D233CCF9B9952A15
-
Habilitar autenticación 802.1X =
Sí
-
Selección de certificado =
Personalizado instalado
La sintaxis del valor hexadecimal final es:
{<suboption><length><value>}...
De acuerdo con los valores de parámetro anteriores, el valor hexadecimal final es el siguiente:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101
- Configure DHCP opción 43 en un servidor DHCP.Este paso proporciona un ejemplo de las configuraciones de la opción DHCP 43 en Cisco Network Register.
- Agregue DHCP conjunto de definición de opciones.
La cadena de opción de proveedor es el nombre del modelo de los teléfonos IP. El valor válido es: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.
- Agregue el DHCP opción 43 y las subopciones al conjunto de definiciones de opciones DHCP.
Ejemplo:
- Agregue las opciones 43 a la directiva DHCP y configure el valor de la siguiente manera:
Ejemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
- Verifique la configuración. Puede usar Wireshark para capturar un rastro del tráfico de red entre el teléfono y el servicio.
- Agregue DHCP conjunto de definición de opciones.
- Realice un restablecimiento de fábrica para el teléfono.
Después de restablecer el teléfono, los parámetros Servidor, Huella digital de CA raíz y Contraseña de desafío se completarán automáticamente. Estos parámetros se encuentran en la sección Configuración SCEP 1 de en la página web de administración del teléfono.
Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.
Para comprobar el estado de instalación del certificado, seleccione Estado de descarga 1 muestra el último resultado. Si se produce algún problema durante la inscripción del certificado, el estado de descarga puede mostrar el motivo del problema para solucionar problemas.
personalizado. ElSi la autenticación de contraseña de desafío falla, se pedirá a los usuarios que introduzcan la contraseña en la pantalla del teléfono. - (Opcional): Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.
Renovación de certificado por SCEP
El certificado del dispositivo se puede actualizar automáticamente mediante el proceso SCEP.
- El teléfono comprueba si el certificado caducará en 15 días cada 4 horas. Si es así, el teléfono inicia el proceso de renovación del certificado automáticamente.
- Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado. Si la contraseña de desafío está configurada, se usa solo para la inscripción inicial, el certificado existente/instalado se usa para la renovación del certificado.
- El teléfono no quita el certificado de dispositivo antiguo hasta que recupera el nuevo.
- Si la renovación del certificado falla porque caduca el certificado del dispositivo o la CA, el teléfono activa la inscripción inicial automáticamente. Mientras tanto, si la autenticación de contraseña de desafío falla, aparece una pantalla de entrada de contraseña en la pantalla del teléfono y se solicita a los usuarios que ingresen la contraseña de desafío en el teléfono.
Activar el modo FIPS
Puede hacer que un teléfono cumpla con los Estándares Federales de Procesamiento de Información (FIPS).
FIPS es un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso dentro del gobierno no militar y por contratistas y proveedores gubernamentales que trabajan con las agencias. CiscoSSL FOM (FIPS Object Module) es un componente de software cuidadosamente definido y diseñado para la compatibilidad con la biblioteca CiscoSSL, por lo que los productos que utilizan la biblioteca y el API CiscoSSL se pueden convertir para utilizar criptografía validada por FIPS 140-2 con un mínimo esfuerzo.
1 |
Acceda a la página web de administración del teléfono. |
2 |
Seleccione . |
3 |
En la sección Configuración de seguridad, elija Sí o No en el parámetro Modo FIPS . |
4 |
Haga clic en Submit All Changes. Cuando habilita FIPS, las siguientes características funcionan sin problemas en el teléfono:
|
Quitar manualmente un certificado de seguridad
Puede quitar manualmente un certificado de seguridad de un teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.
1 |
En la página web de administración del teléfono, seleccione Certificates (Certificados). |
2 |
Busque el certificado en la página Certificados. |
3 |
Haga clic en Delete (Eliminar). |
4 |
Reinicie el teléfono después de que finalice el proceso de eliminación. |
Establecer la contraseña de usuario y administrador
Después de registrar el teléfono en un sistema de control de llamadas por primera vez o realizar un restablecimiento de fábrica en el teléfono, debe establecer la contraseña de usuario y administrador para mejorar la seguridad del teléfono. Sólo cuando se establece la contraseña, puede enviar los cambios desde la página web del teléfono.
De forma predeterminada, la advertencia de no contraseña está habilitada en el teléfono. Cuando el teléfono no tiene ninguna contraseña de usuario o administrador, se muestran las siguientes advertencias:
- La página web del teléfono muestra la opción "No se proporcionó ninguna contraseña de administrador. La Web está en modo de sólo lectura y no puede enviar cambios. Cambie la contraseña." en la esquina superior izquierda.
Los campos Contraseña de usuario y Contraseña de administrador muestran la advertencia "No se proporcionó ninguna contraseña" respectivamente si está vacía.
- La pantalla del teléfono Problemas y diagnósticos muestra el problema "No se proporcionó contraseña".
1 |
Acceder a la página web de administración del teléfono |
2 |
Seleccione . |
3 |
(Opcional) En la sección Configuración del sistema, establezca el parámetro Mostrar advertencias de contraseña en Sí y, acontinuación, haga clic en Enviar todos los cambios. También puede activar los parámetros en el archivo de configuración del teléfono (cfg.xml).
Valor predeterminado: Yes (Sí) Opciones: Sí|No Cuando el parámetro se establece en No, la advertencia de contraseña no aparece ni en la página web ni en la pantalla del teléfono. Además, el modo ready-only para la página web no se activará aunque la contraseña esté vacía. |
4 |
Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro. |
5 |
Introduzca la contraseña de usuario actual en el campo Contraseña antigua. Si no tiene una contraseña, deje el campo vacío. El valor predeterminado es el vacío.
|
6 |
Introduzca una nueva contraseña en el campo Nueva contraseña . |
7 |
Haga clic en Submit (Enviar). El mensaje Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo de XML de configuración del teléfono (cfg.xml):
Si recibe el código de error 403 cuando intenta acceder a la página web del teléfono, debe establecer la contraseña de usuario o administrador mediante el aprovisionamiento en el archivo de configuración del teléfono (cfg.xml). Por ejemplo, introduzca una cadena en este formato:
|
Autenticación 802.1X
La Teléfonos IP Cisco admiten la autenticación 802.1X.
Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia de EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.
Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la computadora conectada localmente se desconecta del teléfono IP, el switch de LAN no percibe la falla en el enlace físico, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar poner en peligro la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la computadora de transmisión de datos a usuarios, que activa el switch de LAN para borrar la entrada de autenticación para esta computadora.
La compatibilidad con la autenticación 802.1X requiere varios componentes:
-
Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.
-
Servidor de autenticación: Tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido que autentique el teléfono.
-
Switch: el switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.
Para configurar 802.1X, debe realizar las siguientes acciones.
-
Configure el resto de los componentes antes de activar la autenticación 802.1X en el teléfono.
-
Configure el puerto PC: el estándar 802.1X no tiene en consideración las VLAN y, por lo tanto, recomienda que solo se autentique un único dispositivo en un puerto de conmutación específico. Sin embargo, algunos switches admiten la autenticación de múltiples dominios. La configuración del switch determina si puede conectar una computadora al puerto de PC del teléfono.
-
Activado: si está usando un switch que admite la autenticación de múltiples dominios, puede activar el puerto PC y conectar una PC a él. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.
Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración de switches Cisco Catalyst en:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Desactivado: si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe desactivar el puerto PC cuando la autenticación 802.1X está activada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch le denegará el acceso a la red tanto al teléfono como a la PC.
-
- Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
- Activada: si utiliza un switch que admite la autenticación de múltiples dominios, puede utilizar la VLAN de voz.
- Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
- (Sólo para Cisco Desk Phone serie 9800)
Cisco Desk Phone 9800 Series tiene un prefijo diferente en el PID que para los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir el Cisco Desk Phone serie 9800.
Por ejemplo, el PID del teléfono 9841 es DP-9841; puedes establecer Radius· Nombre de usuario para
empezar por DP
oContiene DP.
Puede configurarlo en las dos secciones siguientes: -
Activar la autenticación 802.1X
Cuando la autenticación 802.1X está habilitada, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red. Cuando la autenticación 802.1X está deshabilitada, el teléfono utiliza Cisco Discovery Protocol (CDP) para adquirir VLAN y acceso a la red. También puede ver el estado de la transacción y el cambio en el menú de la pantalla del teléfono.
Cuando la autenticación 802.1X está habilitada, también puede seleccionar el certificado de dispositivo (MIC/SUDI o personalizado) para la inscripción inicial y la renovación del certificado. Normalmente, MIC es para Cisco Video Phone 8875, SUDI es para Cisco Desk Phone 9800 Series. CDC solo se puede usar para la autenticación en 802.1x.
1 |
Realice una de las siguientes acciones para habilitar la autenticación de 802.1X:
| ||||||||||||||||||||
2 |
Seleccione un certificado (MIC o personalizado) para la autenticación 802.1X en la página web del teléfono.
Para obtener información acerca de cómo seleccionar un tipo de certificado en la pantalla del teléfono, consulte Conectar el teléfono a una red Wi-Fi.
|
Configurar un servidor proxy
Puede configurar el teléfono para que utilice un servidor proxy para mejorar la seguridad. Normalmente, un servidor proxy HTTP puede proporcionar los siguientes servicios:
- Enrutamiento del tráfico entre redes internas y externas
- Filtrar, supervisar o registrar el tráfico
- Almacenamiento en caché de respuestas para mejorar el rendimiento
Además, el servidor proxy HTTP puede actuar como un firewall entre el teléfono e Internet. Después de una configuración exitosa, el teléfono se conecta a Internet a través del servidor proxy que protege el teléfono de ataques cibernéticos.
Cuando se configura, la característica de proxy HTTP se aplica a todas las aplicaciones que utilizan el protocolo HTTP. Por ejemplo:
- GDS (Activation Code Onboarding)
- Activación de dispositivo EDOS
- Incorporación a Webex Cloud (a través de EDOS o GDS)
- CA personalizada
- Aprovisionamiento
- Actualización de firmware
- Informe de estado del teléfono
- Carga de PRT
- Servicios de XSI
- Servicios Webex
1 |
Acceda a la página web de administración del teléfono. | ||||||||||||||||
2 |
Seleccione . | ||||||||||||||||
3 |
En la sección Configuración de proxy HTTP, seleccione un modo de proxy de la lista desplegable Modo de proxy y configure los parámetros relacionados. Para cada modo proxy, los parámetros requeridos son diferentes. Consulte los detalles en la siguiente tabla:
Para obtener más información sobre los parámetros, consulte Parámetros para la configuración del proxy HTTP. | ||||||||||||||||
4 |
Haga clic en Submit All Changes. |
Parámetros para la configuración del proxy HTTP
En la tabla siguiente se define la función y el uso de los parámetros de proxy HTTP en la sección Configuración de proxy HTTP en la de la interfaz web del teléfono. También se define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) con código XML para la configuración de un parámetro.
Parámetro | Descripción |
---|---|
Modo de proxy | Especifica el modo de proxy HTTP que utiliza el teléfono o deshabilita la función de proxy HTTP.
Realice una de las siguientes acciones:
Valores permitidos: Automático, Manual y Desactivado Valor predeterminado: desactivado |
Detección automática de proxy web | Determina si el teléfono utiliza el protocolo Web Proxy Auto Discovery (WPAD) para recuperar un archivo PAC. El protocolo WPAD utiliza DHCP o DNS, o ambos protocolos de red, para localizar automáticamente un archivo de configuración automática de proxy (PAC). El archivo PAC se utiliza para seleccionar un servidor proxy para una URL determinada. Este archivo se puede alojar localmente o en una red.
Realice una de las siguientes acciones:
Valores permitidos: Sí y No Valor predeterminado: Yes (Sí) |
URL de archivo PAC | URL de un archivo PAC. Por ejemplo, Se admiten TFTP, HTTP y HTTPS. Si establece el Modo de proxy en Auto y la detección automática de proxy web en No , debe configurar este parámetro. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Host del proxy | Dirección IP o nombre de host del servidor host proxy al que accede el teléfono. Por ejemplo:
El esquema ( Si establece el Modo de proxy en Manual, debe configurar este parámetro. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Puerto de proxy | Número de puerto del servidor host proxy. Si establece el Modo de proxy en Manual, debe configurar este parámetro. Realice una de las siguientes acciones:
Valor predeterminado: 3128 |
Autenticación de proxy | Determina si el usuario debe proporcionar las credenciales de autenticación (nombre de usuario y contraseña) que requiere el servidor proxy. Este parámetro se configura de acuerdo con el comportamiento real del servidor proxy. Si establece el parámetro en Sí, debe configurar Nombre de usuario y Contraseña. Para obtener más información sobre los parámetros, consulte el parámetro "Nombre de usuario" y "Contraseña" en esta tabla. La configuración de parámetros surte efecto cuando el modo de proxy se establece en manual . Realice una de las siguientes acciones:
Valores permitidos: Sí y No Valor predeterminado: no |
Nombre de usuario | Nombre de usuario de un usuario de credenciales en el servidor proxy. Si Modo de proxy se establece en Manual y Autenticación de proxy se establece en Sí , debe configurar el parámetro. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Contraseña | Contraseña del nombre de usuario especificado para el propósito de autenticación del proxy. Si Modo de proxy se establece en Manual y Autenticación de proxy se establece en Sí , debe configurar el parámetro. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Habilitación del modo iniciado por el cliente para las negociaciones de seguridad del plano de medios
Si desea proteger las sesiones de medios, puede configurar el teléfono para que inicie negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en RFC 3329 y su borrador de extensión Nombres de mecanismos de seguridad para medios (Ver https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP con UDP, TCP y TLS. Puede establecer que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señal sea TLS.
1 |
Acceda a la página web de administración del teléfono. | ||||||
2 |
Seleccione . | ||||||
3 |
En la sección Configuración de SIP, establezca los campos MediaSec Request y MediaSec Over TLS Only como se define en la tabla siguiente:
| ||||||
4 |
Haga clic en Submit All Changes. |
Seguridad WLAN
Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura de seguridad Cisco SAFE es compatible con el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante los siguientes métodos de autenticación que admite el teléfono:
-
Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.
-
Protocolo de autenticación extensible: autenticación flexible mediante autenticación de túnel seguro (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).
El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.
En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.
-
Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbricas, el certificado de cliente puede ser MIC, LSC o certificado instalado por el usuario.
-
protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede utilizar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.
-
Clave precompartida (PSK): El teléfono admite ASCII formato. Debe utilizar este formato al configurar una clave precompartida WPA/WPA2/SAE:
ASCII: cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas de a-Z, y caracteres especiales)
Ejemplo: GREG123567@9ZX&W
Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:
-
WPA/WPA2/WPA3: Utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.
-
Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 son compatibles con 802.11r (FT). Tanto por aire como por DS son compatibles para permitir una itinerancia rápida y segura. Pero se recomienda utilizar el método por vía aérea 802.11 r (FT).
Con WPA/WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.
Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES cifrado. Cuando estos mecanismos se utilizan para el cifrado, tanto los paquetes SIP de señalización como los paquetes de protocolo de transporte en tiempo real (RTP) de voz se cifran entre el AP y el teléfono.
- TKIP
-
WPA utiliza el cifrado TKIP que tiene varias mejoras con respecto a WEP. TKIP proporciona el cifrado de claves por paquete y los vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, un código de integridad de mensaje (MIC) garantiza que los paquetes cifrados no se alteran. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave WEP.
- AES
-
Método de cifrado utilizado para la autenticación WPA2/WPA3. Este estándar nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza el cifrado CBC (cadena de bloqueo de cifrado) de 128 bits de tamaño, que admite tamaños de clave de 128 bits, 192 bits y 256 bits, como mínimo. El teléfono admite un tamaño de clave de 256 bits.
Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 no son compatibles con Cisco Key Integrity Protocol (CKIP) con CMIC.
Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.
Algunos esquemas de autenticación requieren tipos específicos de cifrado.
- Cuando utiliza WPA clave precompartida, clave precompartida WPA2 o SAE, la clave precompartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.
-
El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para EAP-TLS modo, debe especificarlo.
Los esquemas de autenticación y cifrado de la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración de AP.
Tipo de FSR | Autenticación | Administración de teclas | Cifrado | Marco de administración protegido (PMF) |
---|---|---|---|---|
802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | No |
802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sí |
802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | No |
802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | No |
802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | No |
802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
Configurar Wi-Fi perfil
Puede configurar un perfil de Wi-Fi en la página web del teléfono o con la resincronización de perfil de dispositivo remoto y, a continuación, asociar el perfil a las redes Wi-Fi disponibles. Puede usar este perfil de Wi-Fi para conectarse a una red Wi-Fi. Actualmente, solo se puede configurar un perfil de Wi-Fi.
El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor telefónico con Wi-Fi. Cuando crea y utiliza un perfil de Wi-Fi, usted ni sus usuarios necesitan configurar la red inalámbrica para teléfonos individuales.
Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario puede realizar en la configuración de Wi-Fi del teléfono.
Se recomienda utilizar un perfil seguro con protocolos habilitados para cifrado para proteger claves y contraseñas cuando utilice un perfil de Wi-Fi.
Cuando configura los teléfonos para que usen el método de autenticación de EAP-FAST en modo de seguridad, los usuarios necesitan credenciales individuales para conectarse a un punto de acceso.
1 |
Acceda a la página web del teléfono. |
2 |
Seleccione . |
3 |
En la sección Wi-Fi Perfil (n), defina los parámetros como se describe en la siguiente tabla Parámetros para Wi-Fi perfil. La configuración del perfil de Wi-Fi también está disponible para el inicio de sesión del usuario.
|
4 |
Haga clic en Submit All Changes. |
Parámetros para Wi-Fi perfil
En la siguiente tabla, se define la función y el uso de cada parámetro de la sección Wi-Fi Profile(n) (Perfil de Wi-Fi (n.º)) en la pestaña System (Sistema) de la página web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.
Parámetro | Descripción |
---|---|
Nombre de red | Permite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Modo de seguridad | Permite seleccionar el método de autenticación que se utiliza para proteger el acceso a la red Wi-Fi. Según el método que elija, aparece un campo de contraseña para que pueda proporcionar las credenciales necesarias para unirse a esta red Wi-Fi. Realice una de las siguientes acciones:
Valor predeterminado: automático |
Identificador de usuario de Wi-Fi | Permite ingresar un Identificador de usuario para el perfil de red. Este campo está disponible cuando establece el modo de seguridad en Auto, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Contraseña de Wi-Fi | Permite ingresar la contraseña para el Identificador de usuario de Wi-Fi especificado. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
Banda de frecuencias | Permite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN. Realice una de las siguientes acciones:
Valor predeterminado: automático |
Selección de certificado | Permite seleccionar un tipo de certificado para la inscripción inicial y renovación de certificados en la red inalámbrica. Este proceso solo está disponible para la autenticación 802.1X. Realice una de las siguientes acciones:
Valor predeterminado: Fabricación instalada |
Comprobar el estado de seguridad del dispositivo en el teléfono
El teléfono comprueba automáticamente el estado de seguridad del dispositivo. Si detecta posibles amenazas de seguridad en el teléfono, el menú Problemas y diagnóstico puede mostrar los detalles de los problemas. En función de los problemas notificados, el administrador puede realizar operaciones para proteger y reforzar el teléfono.
Para ver detalles de los problemas de seguridad en el teléfono, haga lo siguiente:
1 |
Presione Settings (Ajustes). | |||||||||||||
2 |
Seleccione .Actualmente, el informe de seguridad del dispositivo contiene los siguientes problemas:
| |||||||||||||
3 |
Póngase en contacto con el administrador para obtener soporte técnico para resolver los problemas de seguridad. |