- Inicio
- /
- Artículo
Gracias por sus comentarios.
Seguridad del teléfono IP Cisco
En este artículo
¿Comentarios?Este artículo de ayuda es para Cisco Desk Phone serie 9800 y Cisco Video Phone 8875 registrados en Cisco BroadWorks.
Instalar manualmente el certificado de dispositivo personalizado
Puede instalar manualmente un certificado de dispositivo personalizado (CDC) en el teléfono; para ello, cargue el certificado desde la página web de administración del teléfono.
Antes de comenzar
Antes de poder instalar un certificado de dispositivo personalizado para un teléfono, debe tener lo siguiente:
- Un archivo de certificado (.p12 o .pfx) guardado en su computadora. El archivo contiene el certificado y la clave privada.
- La contraseña del extracto del certificado. La contraseña se utiliza para descifrar el archivo del certificado.
| 1 |
Acceda a la página web de administración del teléfono. |
| 2 |
Seleccione Certificado. |
| 3 |
En la sección Agregar certificado, haga clic en Examinar.... |
| 4 |
Busque el certificado en su PC. |
| 5 |
En el campo Extraer contraseña, introduzca la contraseña para extraer el certificado. |
| 6 |
Haga clic en Cargar. Si el archivo de certificado y la contraseña son correctos, recibirá el mensaje "Certificado agregado.". De lo contrario, la carga falla con un mensaje de error que indica que no se puede cargar el certificado.
|
| 7 |
Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes. |
| 8 |
Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes. Una vez que haga clic en el botón, la operación de eliminación se inicia inmediatamente sin confirmación.
Si el certificado se elimina correctamente, recibirá el mensaje "Certificado eliminado.". |
Instalar automáticamente un certificado de dispositivo personalizado por SCEP
Puede configurar los parámetros del Protocolo de inscripción de certificado simple (Simple Certificate Enrollment Protocol, SCEP) para instalar automáticamente el Certificado de dispositivo personalizado (Custom Device Certificate, CDC), si no desea cargar manualmente el archivo de certificado o no tiene el archivo de certificado instalado.
Cuando los parámetros del SCEP están configurados correctamente, el teléfono envía solicitudes al servidor del SCEP y el certificado de la CA se valida por el dispositivo mediante la huella digital definida.
Antes de comenzar
Antes de poder realizar una instalación automática de un certificado de dispositivo personalizado para un teléfono, debe tener:
- Dirección del servidor SCEP
- Huella digital SHA-1 o SHA-256 del certificado de CA raíz para el servidor del SCEP
| 1 |
Acceda a la página web de administración del teléfono. |
| 2 |
Seleccione Certificado. |
| 3 |
En la sección Configuración de SCEP 1, defina los parámetros como se describe en la siguiente tabla Parámetros para la configuración de SCEP. |
| 4 |
Haga clic en Enviar todos los cambios. |
Parámetros para la configuración de SCEP
En la siguiente tabla, se definen la función y el uso de los parámetros de configuración de SCEP en la sección Configuración de SCEP 1 en la pestaña Certificado en la interfaz web del teléfono. También define la sintaxis de la cadena que se agrega al archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.
| Parámetros | Descripción |
|---|---|
| Servidor |
Dirección del servidor SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Valores válidos: Una dirección IP o URL. El esquema HTTPS no es compatible. Predeterminado Vacío |
| Huella digital de CA raíz |
Huella digital SHA256 o SHA1 de la CA raíz para validación durante el proceso SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Predeterminado Vacío |
| Cambiar la contraseña |
La contraseña de desafío para la autorización de una autoridad de certificación (CA) contra el teléfono durante una inscripción de certificado a través del SCEP. Este parámetro es opcional. Según el entorno real del SCEP, el comportamiento de la contraseña de desafío varía.
Realice una de las siguientes acciones:
Predeterminado Vacío |
Configuración de parámetros SCEP a través de la opción 43 de DHCP
Además de la inscripción del certificado SCEP mediante las configuraciones manuales en la página web del teléfono, también puede utilizar la opción 43 de DHCP para completar los parámetros desde un servidor DHCP. La opción 43 de DHCP está preconfigurada con los parámetros SCEP; más tarde, el teléfono puede obtener los parámetros del servidor DHCP para realizar la inscripción del certificado SCEP.
- La configuración de parámetros SCEP a través de la opción 43 de DHCP solo está disponible para el teléfono en el que se realiza un restablecimiento de fábrica.
- Los teléfonos no se colocarán en la red que admita tanto la Opción 43 como el aprovisionamiento remoto (por ejemplo, las Opciones 66, 160, 159, 150 o el aprovisionamiento en la nube). De lo contrario, es posible que los teléfonos no obtengan las configuraciones de la Opción 43.
Para inscribir un certificado SCEP mediante la configuración de los parámetros SCEP en la opción 43 de DHCP, haga lo siguiente:
- Prepare un entorno SCEP.
Para obtener información sobre la configuración del entorno SCEP, consulte la documentación del servidor SCEP.
- Configure la opción 43 de DHCP (definida en 8.4 Información específica del proveedor, RFC 2132).
Las subopciones (10–15) están reservadas para el método:
Parámetro en la página web del teléfono Subopción Tipo Longitud (byte) Obligatorio Modo FIPS 10 Booleana 1 No* Servidor 11 Cadena 208 - longitud (contraseña de desafío) Sí Huella digital de CA raíz 12 binario 20 o 32 Sí Cambiar la contraseña 13 Cadena 208 - longitud (servidor) No* Activar autenticación 802.1X 14 Booleana 1 No Selección de certificado 15 sin firmar de 8 bits 1 No Cuando utiliza la opción 43 de DHCP, observe las siguientes características del método:
- Las subopciones (10–15) están reservadas para el certificado de dispositivo personalizado (CDC).
- La longitud máxima de la opción 43 de DHCP es de 255 bytes.
- La longitud máxima de Servidor + Contraseña de desafío debe ser inferior a 208 bytes.
- El valor del Modo FIPS será coherente con la configuración de aprovisionamiento de incorporación. De lo contrario, el teléfono no recuperará el certificado instalado anteriormente después de la incorporación. En concreto,
- Si el teléfono se inscribirá en un entorno en el que el modo FIPS está deshabilitado, no es necesario configurar el parámetro Modo FIPS en la opción 43 de DHCP. De forma predeterminada, el modo FIPS está desactivado.
- Si el teléfono se registrará en un entorno en el que el modo FIPS está activado, debe activar el modo FIPS en la opción 43 de DHCP. Consulte Habilitar el modo FIPS para obtener más detalles.
- La contraseña de la opción 43 está en texto claro.
Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI para la inscripción inicial y la renovación del certificado. Si se configura la contraseña de desafío, solo se utiliza para la inscripción inicial, y el certificado instalado se utilizará para la renovación del certificado.
- Habilitar la autenticación 802.1X y Selección de certificado se utilizan solo para los teléfonos de la red por cable.
- La opción 60 de DHCP (Identificador de clase de proveedor) se utiliza para identificar el modelo del dispositivo.
La siguiente tabla ofrece un ejemplo de la opción 43 de DHCP (subopciones 10 a 15):
Subopción decimal/hexadecimal Longitud del valor (byte) decimal/hexadecimal Valor Valor hexadecimal 10/0 a 1/01 1 (0: Deshabilitado; 1: Habilitado 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0 c 14/20 12040870625c5b755d73f5925285f8f5ff5d55af 12040870625c5b755d73f5925285f8f5ff5d55af 13/0d 10/16 d ccf9b9952a15 44323333434346394239393532413135 14/0 e 1/01 1 (0: No; 1: Sí* 01 15/0f 1/01 1 (0: Fabricación instalada; 1: Instalación personalizada) 01 Resumen de los valores de los parámetros:
-
Modo FIPS = Habilitado
-
Servidor =
http://10.79.57.91 -
Huella digital de CA raíz =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Contraseña de desafío = D <UNK> CCF9B9952A15
-
Habilitar autenticación 802.1X = Sí
-
Selección de certificado = Instalación personalizada
La sintaxis del valor hexadecimal final es:
{<subopción><longitud><valor>}...De acuerdo con los valores de los parámetros anteriores, el valor hexadecimal final es el siguiente:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configure la opción 43 de DHCP en un servidor DHCP.Este paso proporciona un ejemplo de las configuraciones de la opción 43 de DHCP en el Registro de red de Cisco.
- Agregue el conjunto de definición de opciones de DHCP.
La Cadena de opción del proveedor es el nombre del modelo de los teléfonos IP. El valor válido es: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.
- Agregue la opción 43 y las subopciones de DHCP al conjunto de definición de opciones de DHCP.
Ejemplo:
- Agregue las opciones 43 a la directiva DHCP y configure el valor de la siguiente manera:
Ejemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D <UNK> CCF9B9952A15)(14 1)(15 1) - Verifique la configuración Puede utilizar Wireshark para capturar un seguimiento del tráfico de red entre el teléfono y el servicio.
- Agregue el conjunto de definición de opciones de DHCP.
- Realice un restablecimiento de fábrica para el teléfono.
Después de restablecer el teléfono, los parámetros Servidor, Huella digital de la CA raíz y Contraseña de desafío se completarán automáticamente. Estos parámetros se encuentran en la sección Configuración 1 del SCEP de en la página web de administración del teléfono.
Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.
Para comprobar el estado de instalación del certificado, seleccione . El Estado de descarga 1 muestra el resultado más reciente. Si se produce algún problema durante la inscripción del certificado, el estado de descarga puede mostrar el motivo del problema a los fines de resolución de problemas.
Si la autenticación de contraseña de desafío falla, se solicitará a los usuarios que introduzcan la contraseña en la pantalla del teléfono. - (Opcional): Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.Una vez que haga clic en el botón, la operación de eliminación se inicia inmediatamente sin confirmación.
Renovación de certificados por parte del SCEP
El certificado del dispositivo se puede actualizar automáticamente mediante el proceso SCEP.
- El teléfono comprueba si el certificado caducará en 15 días cada 4 horas. Si es así, el teléfono inicia el proceso de renovación de certificados automáticamente.
- Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado. Si la contraseña de desafío está configurada, se utiliza solo para la inscripción inicial; el certificado existente/instalado se utiliza para la renovación del certificado.
- El teléfono no elimina el certificado de dispositivo anterior hasta que recupera el nuevo.
- Si falla la renovación del certificado porque caduca el certificado del dispositivo o la CA, el teléfono activa la inscripción inicial automáticamente. Mientras tanto, si la autenticación de contraseña de desafío falla, aparece una pantalla de entrada de contraseña en la pantalla del teléfono y se solicita a los usuarios que introduzcan la contraseña de desafío en el teléfono.
Habilitar el modo FIPS
Puede hacer que un teléfono cumpla con los Estándares de procesamiento de información federal (FIPS, por sus siglas en inglés).
Las FIPS son un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso dentro de un gobierno no militar y por contratistas y proveedores del gobierno que trabajan con las agencias. CiscoSSL FOM (FIPS Object Module) es un componente de software cuidadosamente definido y diseñado para ser compatible con la biblioteca CiscoSSL, por lo que los productos que usan la biblioteca CiscoSSL y la API pueden convertirse para usar la criptografía validada FIPS 140-2 con un esfuerzo mínimo.
| 1 |
Acceda a la página web de administración del teléfono. |
| 2 |
Seleccione . |
| 3 |
En la sección Configuración de seguridad, elija Sí o No en el parámetro Modo FIPS. |
| 4 |
Haga clic en Enviar todos los cambios. Cuando habilita FIPS, las siguientes funciones funcionan sin problemas en el teléfono:
|
Eliminar manualmente un certificado de seguridad
Puede eliminar manualmente un certificado de seguridad de un teléfono si el Protocolo de inscripción de certificado simple (SCEP) no está disponible.
| 1 |
En la página web de administración del teléfono, seleccione Certificados. |
| 2 |
Busque el certificado en la página Certificados. |
| 3 |
Haga clic en Eliminar. |
| 4 |
Reinicie el teléfono una vez finalizado el proceso de eliminación. |
Establecer la contraseña del usuario y del administrador
Después de registrar el teléfono en un sistema de control de llamadas por primera vez o de realizar un restablecimiento de fábrica en el teléfono, debe establecer la contraseña de usuario y administrador para mejorar la seguridad del teléfono. Solo cuando se configura la contraseña, puede enviar los cambios desde la página web del teléfono.
De manera predeterminada, la advertencia de no contraseña está activada en el teléfono. Cuando el teléfono no tiene ninguna contraseña de usuario o administrador, se muestran las siguientes advertencias:
- La página web del teléfono muestra "No se proporcionó la contraseña del administrador. La Web está en modo de solo lectura y no puede enviar cambios. Cambie la contraseña". en la esquina superior izquierda.
Los campos Contraseña de usuario y Contraseña de administrador muestran la advertencia "No se proporcionó la contraseña", respectivamente, si está vacía.
- En la pantalla del teléfono Problemas y diagnósticos se muestra el problema "No se proporcionó la contraseña".
| 1 |
Acceder a la página web de administración del teléfono |
| 2 |
Seleccione . |
| 3 |
(Opcional) En la sección Configuración del sistema, defina el parámetro Mostrar advertencias de contraseña en Sí y, luego, haga clic en Enviar todos los cambios. También puede habilitar los parámetros en el archivo de configuración del teléfono (cfg.xml).
Predeterminado Sí Opciones: Sí|No Cuando el parámetro se establece en No, la advertencia de contraseña no aparece ni en la página web ni en la pantalla del teléfono. Además, el modo de solo listo para la página web no se activará aunque la contraseña esté vacía. |
| 4 |
Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro. |
| 5 |
Introduzca la contraseña del usuario actual en el campo Contraseña antigua. Si no tiene una contraseña, mantenga el campo vacío. La opción predeterminada está activada.
|
| 6 |
Introduzca una contraseña nueva en el campo Contraseña. |
| 7 |
Haga clic en Enviar. Aparecerá el mensaje La contraseña se ha cambiado correctamente. en la página web. La página web se actualizará en varios segundos. La advertencia junto al parámetro desaparecerá. Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo XML de configuración del teléfono (cfg.xml):
Si recibe el código de error 403 cuando intenta acceder a la página web del teléfono, debe establecer la contraseña de usuario o administrador mediante el aprovisionamiento en el archivo de configuración del teléfono (cfg.xml). Por ejemplo, introduzca una cadena con este formato:
|
Autenticación 802.1X
Los teléfonos IP Cisco son compatibles con la autenticación 802.1X.
Tradicionalmente, los teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Protocolo de detección de Cisco (CDP) para identificarse entre sí y determinar parámetros como la asignación de VLAN y los requisitos de alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.
Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la PC conectada localmente se desconecta del teléfono IP, el switch de LAN no ve que el enlace físico falla, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar comprometer la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la PC descendente, lo que activa el switch de LAN para borrar la entrada de autenticación para la PC descendente.
El soporte para la autenticación 802.1X requiere varios componentes:
-
Teléfono IP de Cisco El teléfono inicia la solicitud para acceder a la red. Los teléfonos IP de Cisco contienen un solicitante 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.
-
servicio de autenticación El servidor de autenticación y el switch deben estar configurados con un secreto compartido que autentica el teléfono.
-
Conmutador: El switch debe admitir 802.1X, para que pueda actuar como autenticador y pasar los mensajes entre el teléfono y el servidor de autenticación. Una vez finalizado el intercambio, el switch concede o deniega el acceso del teléfono a la red.
Debe realizar las siguientes acciones para configurar 802.1X.
-
Configure los otros componentes antes de habilitar la autenticación 802.1X en el teléfono.
-
Configurar puerto de PC: El estándar 802.1X no tiene en cuenta las VLAN y, por lo tanto, recomienda que solo se autentique un dispositivo en un puerto de switch específico. Sin embargo, algunos switches admiten la autenticación de multidominio. La configuración del switch determina si puede conectar una PC al puerto de PC del teléfono.
-
Habilitado Si está utilizando un switch que admite la autenticación de varios dominios, puede habilitar el puerto de PC y conectar una PC a este. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.
Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración del switch Cisco Catalyst en:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
desactivado Si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe deshabilitar el puerto de PC cuando la autenticación 802.1X esté habilitada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch deniega el acceso de red tanto al teléfono como a la PC.
-
- Configurar la VLAN de voz: Dado que el estándar 802.1X no tiene en cuenta las VLAN, debe configurar este ajuste en función de la compatibilidad del switch.
- Habilitado Si está utilizando un switch que admite la autenticación de varios dominios, puede continuar usando la VLAN de voz.
- desactivado Si el switch no admite la autenticación multidominio, deshabilite la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
- (Solo para teléfonos de escritorio Cisco serie 9800)
El teléfono de escritorio Cisco serie 9800 tiene un prefijo diferente en el PID al de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, defina el parámetro Radio·Nombre de usuario para que incluya su teléfono de escritorio Cisco serie 9800.
Por ejemplo, el PID del teléfono 9841 es DP-9841; puede configurar Radio·Nombre de usuario en Iniciar con DP o Contiene DP. Puede definirlo en las dos secciones siguientes:
-
Activar la autenticación 802.1X
Cuando está habilitada la autenticación 802.1X, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red. Cuando la autenticación 802.1X está deshabilitada, el teléfono utiliza el Protocolo de detección de Cisco (CDP) para adquirir acceso a la red y a la VLAN. También puede ver el estado de la transacción y los cambios en el menú de la pantalla del teléfono.
Cuando la autenticación 802.1X está habilitada, también puede seleccionar el certificado del dispositivo (MIC/SUDI o personalizado) para la inscripción inicial y la renovación del certificado. Normalmente, el MIC es para el teléfono de vídeo de Cisco 8875 y el SUDI es para el teléfono de escritorio de Cisco serie 9800. CDC solo se puede utilizar para la autenticación en 802.1x.
| 1 |
Realice una de las siguientes acciones para habilitar la autenticación 802.1X:
| ||||||||||||||||||||
| 2 |
Seleccione un certificado (MIC o personalizado) para la autenticación 802.1X en la página web del teléfono.
Para obtener información sobre cómo seleccionar un tipo de certificado en la pantalla del teléfono, consulte Conectar su teléfono a una red Wi-Fi.
|
Habilitar el modo Iniciado por el cliente para las negociaciones de seguridad del plano de medios
Para proteger las sesiones de medios, puede configurar el teléfono para que inicie negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en RFC 3329 y el borrador de su extensión Nombres de mecanismos de seguridad para medios (consulte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP a través de UDP, TCP y TLS. Puede limitar que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señalización sea TLS.
| 1 |
Acceda a la página web de administración del teléfono. | ||||||
| 2 |
Seleccione . | ||||||
| 3 |
En la sección Configuración de SIP, defina los campos Solicitud de MediaSec y MediaSec solo sobre TLS como se define en la siguiente tabla:
| ||||||
| 4 |
Haga clic en Enviar todos los cambios. |
Seguridad WLAN
Dado que todos los dispositivos WLAN que están dentro del rango pueden recibir todo el resto del tráfico WLAN, proteger las comunicaciones de voz es fundamental en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura de seguridad SAFE de Cisco es compatible con el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de red inalámbrica que evita los inicios de sesión no autorizados y las comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono:
-
Autenticación abierta: Cualquier dispositivo inalámbrico puede solicitar la autenticación en un sistema abierto. El AP que recibe la solicitud puede otorgar autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no cifrarse.
-
Protocolo de autenticación extensible-Autenticación flexible a través de autenticación de túnel seguro (EAP-FAST): Esta arquitectura de seguridad cliente-servidor cifra las transacciones EAP dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como el motor de servicios de identidad (ISE).
El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona el PAC adecuado. El cliente (teléfono) devuelve un PAC-Opaque al servidor RADIUS. El servidor descifra el PAC con la clave principal. Ambos extremos ahora contienen la clave PAC y se crea un túnel TLS. EAP-FAST admite el aprovisionamiento automático de PAC, pero debe habilitarlo en el servidor RADIUS.
En ISE, de forma predeterminada, el PAC caduca en una semana. Si el teléfono tiene un PAC caducado, la autenticación con el servidor RADIUS tarda más tiempo mientras el teléfono obtiene un PAC nuevo. Para evitar demoras en el aprovisionamiento de PAC, establezca el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.
-
Autenticación extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. En el caso de EAP-TLS inalámbrico, el certificado de cliente puede ser MIC, LSC o certificado instalado por el usuario.
-
Protocolo de autenticación extensible protegido (PEAP): Esquema de autenticación mutua de propiedad de Cisco basado en contraseñas entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede utilizar PEAP para la autenticación con la red inalámbrica. Los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC son compatibles.
-
Clave compartida previamente (PSK): El teléfono admite el formato ASCII. Debe utilizar este formato al configurar una clave precompartida de WPA/WPA2/SAE:
ASCII: una cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas A-Z, y caracteres especiales)
Ejemplo: GREG123567@9ZX&W
Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:
-
wpa/wpa2/wpa3: Utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Debido a que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que las claves preseleccionadas de WPA que se almacenan en el AP y en el teléfono.
-
Itinerancia segura y rápida: Utiliza el servidor RADIUS y la información de un servidor de dominio inalámbrico (WDS) para administrar y autenticar claves. El WDS crea un caché de credenciales de seguridad para los dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Los teléfonos de escritorio Cisco 9861 y 9871 y el teléfono de vídeo Cisco 8875 son compatibles con 802.11r (FT). Se admiten tanto por el aire como por el DS para permitir una itinerancia segura y rápida. Sin embargo, recomendamos encarecidamente utilizar el método 802.11r (FT) por aire.
Con WPA/WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, pero se derivan automáticamente entre el AP y el teléfono. Pero en cada teléfono se deben ingresar el nombre de usuario y la contraseña de EAP que se utilizan para la autenticación.
Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES para el cifrado. Cuando se utilizan estos mecanismos para el cifrado, los paquetes SIP de señalización y los paquetes del Protocolo de transporte en tiempo real (RTP) de voz se cifran entre el AP y el teléfono.
- tkip
-
WPA utiliza el cifrado TKIP que tiene varias mejoras sobre WEP. TKIP proporciona cifrado de claves por paquete y vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, una comprobación de integridad de mensajes (MIC) garantiza que los paquetes cifrados no se alteren. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave de WEP.
- aes
-
Un método de cifrado utilizado para la autenticación WPA2/WPA3. Esta norma nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza cifrado de cadena de bloqueo de cifrado (CBC) de 128 bits, que admite tamaños de claves de 128 bits, 192 bits y 256 bits como mínimo. El teléfono admite un tamaño de clave de 256 bits.
Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 no son compatibles con el Protocolo de integridad de claves de Cisco (CKIP) con CMIC.
Los esquemas de autenticación y cifrado se establecen dentro de la LAN inalámbrica. Las VLAN se configuran en la red y en los AP y especifican diferentes combinaciones de autenticación y cifrado. Un SSID se asocia con una VLAN y con el esquema de autenticación y cifrado particular. Para que los dispositivos de cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.
Algunos esquemas de autenticación requieren tipos específicos de cifrado.
- Cuando utiliza la clave precompartida WPA, la clave precompartida WPA2 o SAE, la clave precompartida debe estar configurada de forma estática en el teléfono. Estas teclas deben coincidir con las teclas que están en el AP.
-
El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para el modo EAP-TLS, debe especificarlo.
Los esquemas de autenticación y cifrado de la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración del AP.
| Tipo de FSR | Autenticación | Administración de claves | Cifrado | Marco de gestión protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
wpa-psk wpa-psk-sha256 Categoría: Ft-psk | aes | No |
| 802.11r (FT) | WPAD |
aag f-sae | aes | Sí |
| 802.11r (FT) | eap-tls |
wpa-eap Universidad Estatal de California | aes | No |
| 802.11r (FT) | eap-tls (wpa3) |
wpa-eap-sha256 Universidad Estatal de California | aes | Sí |
| 802.11r (FT) | EAP-FAST |
wpa-eap Universidad Estatal de California | aes | No |
| 802.11r (FT) | eap-fast (wpa3) |
wpa-eap-sha256 Universidad Estatal de California | aes | Sí |
| 802.11r (FT) | eap-peap |
wpa-eap Universidad Estatal de California | aes | No |
| 802.11r (FT) | eap-peap (wpa3) |
wpa-eap-sha256 Universidad Estatal de California | aes | Sí |
Configurar perfil de Wi-Fi
Puede configurar un perfil de Wi-Fi desde la página web del teléfono o desde la resincronización del perfil del dispositivo remoto y, a continuación, asociar el perfil a las redes Wi-Fi disponibles. Puede utilizar este perfil de Wi-Fi para conectarse a una red Wi-Fi. Actualmente, solo se puede configurar un perfil de Wi-Fi.
El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor del teléfono con Wi-Fi. Cuando crea y utiliza un perfil de Wi-Fi, ni usted ni sus usuarios necesitan configurar la red inalámbrica para teléfonos individuales.
Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario realice en la configuración de Wi-Fi en el teléfono.
Le recomendamos que utilice un perfil seguro con protocolos de cifrado habilitados para proteger las claves y las contraseñas cuando utiliza un perfil de Wi-Fi.
Cuando configura los teléfonos para que utilicen el método de autenticación EAP-FAST en modo de seguridad, sus usuarios necesitan credenciales individuales para conectarse a un punto de acceso.
| 1 |
Acceda a la página web del teléfono. |
| 2 |
Seleccione . |
| 3 |
En la sección Perfil de Wi-Fi (n), defina los parámetros como se describe en la siguiente tabla Parámetros para perfil de Wi-Fi. La configuración del perfil de Wi-Fi también está disponible para el inicio de sesión del usuario.
|
| 4 |
Haga clic en Enviar todos los cambios. |
Parámetros para el perfil de Wi-Fi
En la siguiente tabla, se definen la función y el uso de cada parámetro en la sección Perfil(n) de Wi-Fi en la ficha Sistema en la página web del teléfono. También define la sintaxis de la cadena que se agrega al archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.
| Parámetros | Descripción |
|---|---|
| Nombre de red | Permite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad. Realice una de las siguientes acciones:
Predeterminado Vacío |
| Modo de seguridad | Permite seleccionar el método de autenticación que se utiliza para asegurar el acceso a la red Wi-Fi. Según el método que elija, aparecerá un campo de contraseña para que pueda proporcionar las credenciales necesarias para entrar a esta red Wi-Fi. Realice una de las siguientes acciones:
Predeterminado Automático |
| ID de usuario de Wi-Fi | Le permite introducir un ID de usuario para el perfil de red. Este campo está disponible cuando configura el modo de seguridad en Automático, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos. Realice una de las siguientes acciones:
Predeterminado Vacío |
| Contraseña de Wi-Fi | Permite ingresar la contraseña para el ID de usuario de Wi-Fi especificado. Realice una de las siguientes acciones:
Predeterminado Vacío |
| Banda de frecuencia | Permite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN. Realice una de las siguientes acciones:
Predeterminado Automático |
| Selección de certificado | Permite seleccionar un tipo de certificado para la inscripción inicial del certificado y la renovación del certificado en la red inalámbrica. Este proceso solo está disponible para la autenticación de 802.1X. Realice una de las siguientes acciones:
Predeterminado Fabricación instalada |
