Seguridad Cisco IP Phone en 9800/8875 (Multiplataforma)

Configurar las opciones de DHCP

Puede configurar el orden en que el teléfono utiliza las opciones de DHCP. Para obtener ayuda con las opciones de DHCP, consulte Compatibilidad con la opción DHCP.

1	Acceda a la página web de administración del teléfono.
2	Seleccione Voice (Voz) > Provisioning (Aprovisionamiento).
3	En el Perfil de configuración sección, establezca el DHCP Opción a utilizar y Opción DHCPv6 a utilizar parámetros como se describe a continuación: Opción DHCP a utilizar :Opciones DHCP, delimitadas por comas, utilizadas para recuperar firmware y perfiles. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Opción_DHCP_Para_Usar ua="na">66,160,159,150</Opción_DHCP_Para_Usar>` Por defecto: `66,160,159,150` o `66,160,159,150,60,43,125`, dependiendo del modelo del teléfono Opción DHCPv6 a utilizar :Opciones de DHCPv6, delimitadas por comas, utilizadas para recuperar firmware y perfiles. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Opción_de_uso_DHCPv6 ua="na">17,160,159</Opción_de_uso_DHCPv6>` Por defecto: `17,160,159`
4	Haga clic en Submit All Changes.

Compatibilidad con la opción DHCP

La siguiente tabla enumera las opciones DHCP compatibles con los teléfonos PhoneOS.

Estándar de red	Descripción
Opción 1 de DHCP	Máscara de subred
Opción 2 de DHCP	Compensación de tiempo
Opción 3 de DHCP	Enrutador
Opción de DHCP 6	Servidor de nombre de dominio
Opción de DHCP 15	Nombre del dominio
Opción de DHCP 17	Información de identificación e información específica del proveedor
Opción de DHCP 41	Tiempo de concesión de dirección IP
Opción de DHCP 42	Servidor NTP
Opción de DHCP 43	Información específica del fabricante Se puede utilizar para proporcionar la configuración SCEP.
Opción de DHCP 56	Servidor NTP Configuración de servidor NTP con IPv6
Opción de DHCP 60	Identificador de clase de proveedor
Opción de DHCP 66	Nombre de servidor TFTP
Opción de DHCP 125	Información de identificación e información específica del proveedor
Opción de DHCP 150	Servidor TFTP
Opción de DHCP 159	IP del servidor de aprovisionamiento
Opción de DHCP 160	URL de aprovisionamiento

Establezca la versión mínima de TLS para el cliente y el servidor

De forma predeterminada, la versión mínima de TLS para el cliente y el servidor es 1.2. Esto significa que el cliente y el servidor aceptan establecer conexiones con TLS 1.2 o superior. La versión máxima admitida de TLS para el cliente y el servidor es 1.3. Cuando se configura, se utilizará la versión mínima TLS para la negociación entre el cliente TLS y el servidor TLS.

Puede configurar la versión mínima de TLS para el cliente y el servidor respectivamente, como 1.1, 1.2 o 1.3.

Antes de comenzar

Asegúrese de que el servidor TLS admita la versión mínima de TLS configurada. Puede consultar con el administrador del sistema de control de llamadas.

1	Acceda a la página web de administración del teléfono.
2	Seleccione Voice (Voz) > System (Sistema).
3	En la sección Configuración de seguridad, configure el parámetro TLS Versión mínima del cliente. TLS 1.1 :El cliente TLS admite las versiones de TLS de 1.1 a 1.3. Si la versión de TLS en el servidor es inferior a 1.1, no se podrá establecer la conexión. TLS 1.2 (predeterminado): el cliente TLS admite TLS 1.2 y 1.3. Si la versión de TLS en el servidor es inferior a 1.2, por ejemplo, 1.1, no se podrá establecer la conexión. TLS 1.3 :El cliente TLS solo admite TLS 1.3. Si la versión de TLS en el servidor es inferior a 1.3, por ejemplo, 1.2 o 1.1, no se podrá establecer la conexión. Si desea establecer el parámetro "TLS Versión mínima del cliente" en "TLS 1.3", asegúrese de que el lado del servidor admita TLS 1.3. Si el lado del servidor no admite TLS 1.3, esto podría causar problemas críticos. Por ejemplo, las operaciones de aprovisionamiento no se pueden realizar en los teléfonos. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>` Valores permitidos: TLS 1.1, TLS1.2 y TLS 1.3. Valor predeterminado: TLS 1.2
4	En la sección Configuración de seguridad, configure el parámetro TLS Versión mínima del servidor. Webex Calling no es compatible con TLS 1.1. TLS 1.1 :El servidor TLS admite las versiones de TLS de 1.1 a 1.3. Si la versión de TLS en el cliente es inferior a 1.1, no se podrá establecer la conexión. TLS 1.2 (predeterminado): el servidor TLS admite TLS 1.2 y 1.3. Si la versión de TLS en el cliente es inferior a 1.2, por ejemplo, 1.1, no se podrá establecer la conexión. TLS 1.3 :El servidor TLS solo admite TLS 1.3. Si la versión de TLS en el cliente es inferior a 1.3, por ejemplo, 1.2 o 1.1, no se podrá establecer la conexión. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>` Valores permitidos: TLS 1.1, TLS1.2 y TLS 1.3. Valor predeterminado: TLS 1.2
5	Haga clic en Submit All Changes.

Activar el modo FIPS

Puedes hacer que un teléfono cumpla con los Estándares Federales de Procesamiento de Información (FIPS).

FIPS es un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso dentro del gobierno no militar y por parte de contratistas y proveedores gubernamentales que trabajan con las agencias. CiscoSSL FOM (FIPS Object Module) es un componente de software cuidadosamente definido y diseñado para ser compatible con la biblioteca CiscoSSL, por lo que los productos que utilizan la biblioteca CiscoSSL y API se pueden convertir para usar criptografía validada FIPS 140-2 con un mínimo esfuerzo.

1	Acceda a la página web de administración del teléfono.
2	Seleccione Voice (Voz) > System (Sistema).
3	En el Configuración de seguridad sección, elige Sí o No desde Modo FIPS parámetro.
4	Haga clic en Submit All Changes. Cuando habilita FIPS, las siguientes funciones funcionan sin problemas en el teléfono: Autenticación de imagen Almacenamiento seguro Cifrado de archivos de configuración TLS: HTTPS Carga de PRT Actualización de firmware Resincronización de perfiles Servicio a bordo Incorporación de Webex SIP a través de TLS 802.1x (con cable) Resumen SIP (RFC 8760) SRTP Registros de llamadas Webex y directorio Webex Solo presionar un botón (OBTP)

Establecer las contraseñas de usuario y administrador

Después de registrar el teléfono en un sistema de control de llamadas por primera vez o realizar un restablecimiento de fábrica en el teléfono, debe configurar las contraseñas de usuario y administrador para mejorar la seguridad del teléfono. Una vez establecidas las contraseñas, podrá acceder a la interfaz web del teléfono.

De forma predeterminada, las contraseñas de usuario y administrador están vacías. Por lo tanto, puede encontrar el problema "No se proporcionó contraseña" en el Ajustes > Problemas y diagnósticos > Asuntos pantalla del teléfono.

1	Acceder a la página web de administración del teléfono
2	Seleccione Voice (Voz) > System (Sistema).
3	(Opcional) En el Configuración del sistema sección, establezca el Mostrar advertencias de contraseña parámetro a Sí, y luego haga clic en Enviar todos los cambios. También puede habilitar los parámetros en el archivo de configuración del teléfono (cfg.XML). `Sí` Valor predeterminado: Yes (Sí) Opciones: Sí\|No Si el parámetro está establecido en No, la advertencia de contraseña no aparece en la pantalla del teléfono.
4	Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro.
5	Introduzca la contraseña de usuario actual en el campo Contraseña antigua. Si no tiene una contraseña, deje el campo vacío. El valor predeterminado es el vacío.
6	Introduzca una nueva contraseña en el campo Nueva contraseña . Reglas de contraseña válidas: La contraseña debe contener al menos entre 8 y 127 caracteres. Combinación (3/4) de letra mayúscula, minúscula, número y caracteres especiales. No se permite espacio. Si la nueva contraseña no cumple con los requisitos, se denegará la configuración.
7	Haga clic en Submit (Enviar). El mensaje `La contraseña se ha cambiado con éxito.` se mostrará en la página web. La página web se actualizará en varios segundos. Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo XML de configuración del teléfono (cfg.XML): `<!-- <Admin_Password ua="na">***********</Admin_Password> <User_Password ua="rw">***********</User_Password> -->`

Autenticación 802.1X

La Teléfonos IP Cisco admiten la autenticación 802.1X.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia de EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.

Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la computadora conectada localmente se desconecta del teléfono IP, el switch de LAN no percibe la falla en el enlace físico, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar poner en peligro la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la computadora de transmisión de datos a usuarios, que activa el switch de LAN para borrar la entrada de autenticación para esta computadora.

La compatibilidad con la autenticación 802.1X requiere varios componentes:

Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.
Servidor de autenticación: Tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido que autentique el teléfono.
Switch: el switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Para configurar 802.1X, debe realizar las siguientes acciones.

Configure el resto de los componentes antes de activar la autenticación 802.1X en el teléfono.
Configure el puerto PC: el estándar 802.1X no tiene en consideración las VLAN y, por lo tanto, recomienda que solo se autentique un único dispositivo en un puerto de conmutación específico. Sin embargo, algunos switches admiten la autenticación de múltiples dominios. La configuración del switch determina si puede conectar una computadora al puerto de PC del teléfono.
- Activado: si está usando un switch que admite la autenticación de múltiples dominios, puede activar el puerto PC y conectar una PC a él. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.
  
  Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración de switches Cisco Catalyst en:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Desactivado: si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe desactivar el puerto PC cuando la autenticación 802.1X está activada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch le denegará el acceso a la red tanto al teléfono como a la PC.
Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
- Activada: si utiliza un switch que admite la autenticación de múltiples dominios, puede utilizar la VLAN de voz.
- Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
(Solo para el teléfono de escritorio Cisco serie 9800)
Cisco Desk Phone 9800 Series tiene un prefijo diferente en el PID del de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir su Cisco Desk Phone 9800 Series.
Por ejemplo, el PID del teléfono 9841 es DP-9841; puedes establecer Radius· Nombre de usuario para empezar por DP o Contiene DP. Puede configurarlo en las dos secciones siguientes:
- Política > Condiciones > Condiciones de la biblioteca
- Conjuntos > directivas > Política de autorización> Regla de autorización 1

Habilitar la autenticación 802.1X en la página web del teléfono

Cuando la autenticación 802.1X está habilitada, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red. Cuando la autenticación 802.1X está desactivada, el teléfono utiliza Cisco Discovery Protocol (CDP) para adquirir VLAN y acceso a la red.

Puede seleccionar un certificado (MIC/SUDI o CDC) utilizado para la autenticación 802.1X. Para obtener más información acerca de CDC, consulte Certificado de dispositivo personalizado en 9800/8875.

Puede ver el estado de la transacción y la configuración de seguridad en el menú de la pantalla del teléfono. Para obtener más información, consulte Menú Configuración de seguridad en el teléfono.

1	Habilite la autenticación 802.1X. Seleccione Voz>Sistema y establezca el parámetro Activar autenticación 802.1X en Sí . También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>` Valores válidos: Yes (Sí) \| No Valor predeterminado: no
2	Seleccione uno de los siguientes certificados instalados usados para la autenticación 802.1X. Opciones de valor: Fabricación instalada: MIC/SUDI. Instalación personalizada: Certificado de dispositivo personalizado (CDC). La configuración varía según la red: Para la red cableada, seleccione Voz > Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Autenticación 802.1X. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Certificate_Select ua="rw">Personalizado instalado</Certificate_Select>` Valores válidos: Fabricación instalada\|Instalación personalizada Valor predeterminado: Fabricación instalada Para la red inalámbrica, seleccione Voz>Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Wi-Fi Perfil 1. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Wi-Fi_Certificate_Select_1_ ua="rw">Instalación personalizada</Wi-Fi_Certificate_Select_1_>` Valores válidos: Fabricación instalada\|Instalación personalizada Valor predeterminado: Fabricación instalada
3	Configure el parámetro ID de usuario que se utilizará como identidad para la autenticación 802.1X en la red cableada. La configuración de parámetros solo surte efecto cuando se usa CDC para la autenticación 802.1X cableada (Selección de certificado se establece en Instalación personalizada). De forma predeterminada, este parámetro está vacío. La identidad para 802.1X cableado varía según el certificado seleccionado: Si se selecciona MIC/SUDI, la identidad 802.1X cableada se representa de la siguiente manera: <Nombre del producto> + dirección SEP<MAC>. Ejemplos: DP-98xx-SEP<MAC dirección>, CP-8875-SEP<MAC dirección>. Si se selecciona CDC, el nombre común en CDC se usa como identidad para 802.1X cableado. Si el ID de usuario está vacío y el nombre común en CDC está configurado, el 802.1X cableado usará el nombre común CDC como identidad. También puede configurar este parámetro en el archivo de configuración (cfg.XML): `<Wired_User_ID ua="na"></Wired_User_ID>` Valores válidos: Máximo de 127 caracteres Valor predeterminado: Empty (Vacío) Este parámetro también admite variables de expansión de macros, consulte Variables de expansión de macros para obtener más información. Si desea utilizar las opciones DHCP para aprovisionar el ID de usuario, consulte Aprovisionamiento de nombre común o ID de usuario a través de la opción DHCP 15.
4	Haga clic en Submit All Changes.

Menú Configuración de seguridad en el teléfono

Puede ver la información sobre la configuración de seguridad en el menú telefónico. La ruta de navegación es:Configuración > Configuración de red y servicio > Seguridad. La disponibilidad de la información depende de la configuración de red de la organización.

Parámetros	Opciones	Predeterminado	Descripción
Device authentication (Autenticación de dispositivos)	Activado Desactivada	Desactivada	Activa o deshabilita la autenticación 802.1X en el teléfono. La configuración de parámetros se puede mantener después del registro listo para usar (OOB) del teléfono.
Transaction status (Estado de transacción)		Inhabilitado	Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a): Authenticating (Autenticando): indica que el proceso de autenticación está en curso. Authenticated (Autenticado): indica que el teléfono está autenticado. Disabled (Inhabilitado): indica que la autenticación de 802.1X está inhabilitada en el teléfono.
Protocolo		Ninguno	Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS.
Tipo de certificado de usuario	Fabricación instalada Instalación personalizada	Fabricación instalada	Selecciona el certificado para la autenticación 802.1X durante la inscripción inicial y la renovación del certificado. Fabricación instalada: se utilizan el certificado de fabricación instalada (MIC) y el identificador único de dispositivo seguro (SUDI). Instalación personalizada: se utiliza el certificado de dispositivo personalizado (CDC). Este tipo de certificado se puede instalar mediante carga manual en la página web del teléfono o mediante la instalación desde un servidor de Protocolo simple de inscripción de certificados (SCEP). Este parámetro aparece en el teléfono solo cuando la autenticación del dispositivo está habilitada.
Compatibilidad con versiones anteriores de WPA	Activado Desactivada	Desactivada	Determina si la versión más antigua de Wi-Fi Protected Access (WPA) es compatible en el teléfono para conectarse a una red inalámbrica o punto de acceso (AP). Si está habilitado, el teléfono puede buscar y conectarse a redes inalámbricas con todas las versiones de WPA compatibles, incluidas WPA, WPA2 y WPA3. Además, el teléfono puede buscar y conectarse a AP que solo admiten la versión más antigua de WPA. Si está deshabilitado (valor predeterminado), el teléfono solo puede buscar y conectarse a las redes inalámbricas y AP compatibles con WPA2 y WPA3. Esta función solo está disponible en teléfonos 9861/9871/8875.

Configurar un servidor proxy

Puede configurar el teléfono para que utilice un servidor proxy para mejorar la seguridad. Normalmente, un servidor proxy HTTP puede proporcionar los siguientes servicios:

Enrutamiento del tráfico entre redes internas y externas
Filtrar, supervisar o registrar el tráfico
Almacenamiento en caché de respuestas para mejorar el rendimiento

Además, el servidor proxy HTTP puede actuar como un firewall entre el teléfono e Internet. Después de una configuración exitosa, el teléfono se conecta a Internet a través del servidor proxy que protege el teléfono de ataques cibernéticos.

Cuando se configura, la característica de proxy HTTP se aplica a todas las aplicaciones que utilizan el protocolo HTTP. Por ejemplo:

GDS (Activation Code Onboarding)
Activación de dispositivo EDOS
Incorporación a Webex Cloud (a través de EDOS o GDS)
CA personalizada
Aprovisionamiento
Actualización de firmware
Informe de estado del teléfono
Carga de PRT
Servicios de XSI
Servicios Webex

Actualmente, la función solo admite IPv4.
La configuración del proxy HTTP se puede mantener después del registro listo para usar (OOB) del teléfono.

1	Acceda a la página web de administración del teléfono.
2	Seleccione Voice (Voz) > System (Sistema).
3	En la sección Configuración de proxy HTTP, seleccione un modo de proxy de la lista desplegable Modo de proxy y configure los parámetros relacionados. Para obtener más información acerca de los parámetros y los parámetros necesarios para cada modo de proxy, consulte Parámetros para la configuración del proxy HTTP .
4	Haga clic en Submit All Changes.

Parámetros para la configuración del proxy HTTP

En la tabla siguiente se definen la función y el uso de los parámetros del proxy HTTP en la sección Configuración del proxy HTTP en Voz > Sistema Tab de la interfaz Web del teléfono. También se define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) con código XML para la configuración de un parámetro.

Parámetro	Descripción
Modo de proxy	Especifica el modo de proxy HTTP que usa el teléfono o deshabilita la característica de proxy HTTP. Automático El teléfono recupera automáticamente un archivo de configuración automática de proxy (PAC) para seleccionar un servidor proxy. En este modo, puede determinar si desea utilizar el protocolo Web Proxy Auto Discovery (WPAD) para recuperar un archivo PAC o escribir manualmente una dirección URL válida del archivo PAC. Para obtener más información sobre los parámetros, consulte los parámetros "Web Proxy Auto Discovery" y "PAC URL" en esta tabla. Manual Debe especificar manualmente un servidor (nombre de host o dirección IP) y un puerto de un servidor proxy. Para obtener más información sobre los parámetros, consulte Host proxy y Puerto proxy. Desactivada Deshabilitar la función de proxy HTTP en el teléfono. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Proxy_Mode ua="rw">Off</Proxy_Mode>` En la interfaz web del teléfono, seleccione un modo de proxy o deshabilite la función. Valores permitidos: Automático, Manual y Desactivado Valor predeterminado: desactivado
Detección automática de proxy web	Determina si el teléfono utiliza el protocolo Web Proxy Auto Discovery (WPAD) para recuperar un archivo PAC. El protocolo WPAD utiliza DHCP o DNS, o ambos protocolos de red para localizar automáticamente un archivo de configuración automática de proxy (PAC). El archivo PAC se utiliza para seleccionar un servidor proxy para una URL determinada. Este archivo se puede alojar localmente o en una red. La configuración de los parámetros surte efecto cuando el Modo proxy se establece en Automático. Si establece el parámetro en No, debe especificar una URL PAC. Para obtener más información sobre el parámetro, consulte el parámetro "URL PAC" en esta tabla. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Web_Proxy_Auto_Discovery ua="rw">Sí</Web_Proxy_Auto_Discovery>` En la interfaz web del teléfono, seleccione Sí o No según sea necesario. Valores permitidos: Sí y No Valor predeterminado: Yes (Sí)
URL de archivo PAC	URL de un archivo PAC. Por ejemplo, `http://proxy.department.branch.example.com` TFTP, HTTP y HTTPS son compatibles. Si establece el modo proxy en Auto y la detección automática de proxy web en No , debe configurar este parámetro. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>` En la interfaz Web del teléfono, introduzca una URL válida que localice un archivo PAC. Valor predeterminado: Empty (Vacío)
Host del proxy	IP dirección o el nombre de host del servidor host proxy al que puede acceder el teléfono. Por ejemplo: `proxy.example.com` El esquema (`http://` o `https://`) no es obligatorio. Si establece el Modo proxy en Manual, debe configurar este parámetro. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Proxy_Host ua="rw">proxy.example.com</Proxy_Host>` En la interfaz Web del teléfono, introduzca una dirección IP o un nombre de host del servidor proxy. Valor predeterminado: Empty (Vacío)
Puerto de proxy	Número de puerto del servidor host proxy. Si establece el Modo proxy en Manual, debe configurar este parámetro. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Proxy_Port ua="rw">3128</Proxy_Port>` En la interfaz Web del teléfono, introduzca un puerto de servidor. Valor predeterminado: 3128
Autenticación de proxy	Determina si el usuario necesita proporcionar las credenciales de autenticación (nombre de usuario y contraseña) que requiere el servidor proxy. Este parámetro se configura de acuerdo con el comportamiento real del servidor proxy. Si establece el parámetro en Sí, debe configurar Nombre de usuario y Contraseña. Para obtener más información sobre los parámetros, consulte los parámetros "Nombre de usuario" y "Contraseña" en esta tabla. La configuración de parámetros surte efecto cuando Modo proxy se establece en Manual . Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Proxy_Authentication ua="rw">No</Proxy_Authentication>` En la interfaz web del teléfono, configure este campo Sí o No según sea necesario. Valores permitidos: Sí y No Valor predeterminado: no
Nombre de usuario	Nombre de usuario de un usuario con credenciales en el servidor proxy. Si Modo proxy se establece en Manual y Autenticación de proxy se establece en Sí, debe configurar el parámetro. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Proxy_Username ua="rw">Ejemplo</Proxy_Username>` En la interfaz web del teléfono, introduzca el nombre de usuario. Valor predeterminado: Empty (Vacío)
Contraseña	Contraseña del nombre de usuario especificado para el propósito de autenticación de proxy. Si el Modo proxy está configurado en Manual y la Autenticación de proxy está configurada en Sí, debe configurar el parámetro. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Contraseña_Proxy ua="rw">Ejemplo</Contraseña_Proxy>` En la interfaz web del teléfono, ingrese una contraseña válida para la autenticación del proxy del usuario. Valor predeterminado: Empty (Vacío)

Tabla 1. Parámetros necesarios para cada modo de proxy
Modo de proxy	Parámetros requeridos	Descripción
Desactivada	No disponible	El proxy HTTP está deshabilitado en el teléfono.
Manual	Host del proxy Puerto de proxy Autenticación de proxy: Sí Nombre de usuario Contraseña	Especifique manualmente un servidor proxy (un nombre de host o una dirección IP) y un puerto proxy. Si el servidor proxy requiere autenticación, deberá ingresar además el nombre de usuario y la contraseña.
Manual	Host del proxy Puerto de proxy Autenticación de proxy: No	Especificar manualmente un servidor proxy. El servidor proxy no requiere credenciales de autenticación.
Automático	Descubrimiento automático de proxy web: No URL de archivo PAC	Introduzca una URL PAC válida para recuperar el archivo PAC.
Automático	Descubrimiento automático de proxy web: Sí	Utiliza el protocolo WPAD para recuperar automáticamente un archivo PAC.

Habilitar el modo iniciado por el cliente para las negociaciones de seguridad del plano de medios

Si desea proteger las sesiones de medios, puede configurar el teléfono para que inicie negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en el RFC 3329 y su borrador de extensión Nombres de mecanismos de seguridad para medios (véase https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP con UDP, TCP y TLS. Puede establecer que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señal sea TLS.

Tabla 2. Parámetros para la negociación de seguridad del plano de medios
Parámetro	Descripción
MediaSec Request (Solicitud seguridad de medios)	Especifica si el teléfono inicia negociaciones de seguridad del plano de medios con el servidor. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<MediaSec_Request_1_ ua="na">Sí</MediaSec_Request_1_>` En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite. Valores permitidos: Yes (Sí) \| No Yes (Sí): modo iniciado por el cliente. El teléfono inicia negociaciones de seguridad del plano de medios. No: modo iniciado por el servidor. El servidor inicia negociaciones de seguridad del plano de medios. El teléfono no inicia negociaciones, pero puede gestionar solicitudes de negociación desde el servidor para establecer llamadas seguras. Valor predeterminado: no
MediaSec Over TLS Only (Seguridad de medios solo sobre TLS)	Especifica el protocolo de transporte de señal sobre el que se aplica la negociación de seguridad del plano de medios. Antes de configurar este campo como Yes (Sí), asegúrese de que el protocolo de transferencia de señal sea TLS. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>` En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite. Valores permitidos: Yes (Sí) \| No Yes (Sí): el teléfono inicia o maneja negociaciones de seguridad del plano de medios solo cuando el protocolo de transferencia de señal es TLS. No: el teléfono inicia y maneja negociaciones de seguridad de planos de medios independientemente del protocolo de transferencia de señal. Valor predeterminado: no

1	Acceda a la página web de administración del teléfono.
2	Seleccione Voice (Voz) > Ext(n) (Número de extensión).
3	En la sección Configuración de SIP , configure los campos Solicitud de MediaSec y Solo MediaSec sobre TLS como se define en la tabla anterior.
4	Haga clic en Submit All Changes.

WLAN seguridad

Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura de seguridad SAFE Cisco respalda el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía inalámbrica Cisco IP proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación que admite el teléfono:

Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.
Protocolo de autenticación extensible: autenticación flexible mediante túnel seguro (EAP-FAST) Autenticación: esta arquitectura de seguridad cliente-servidor cifra las transacciones EAP dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).

El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.

En ISE, por defecto, el PAC vence en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.
Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para la conexión inalámbrica EAP-TLS, el certificado del cliente puede ser MIC, LSC, o un certificado instalado por el usuario.
protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede usar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.
Clave precompartida (PSK): el teléfono admite el formato ASCII. Debe utilizar este formato al configurar una clave precompartida WPA/WPA2/SAE:

ASCII: cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas de a-Z, y caracteres especiales)

Ejemplo: GREG123567@9ZX&W

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

WPA/WPA2/WPA3: utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.
Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea un caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Los teléfonos de escritorio Cisco 9861 y 9871 y el teléfono con video Cisco 8875 admiten 802.11r (FT). Se admiten tanto la transmisión por aire como a través de la DS para permitir un roaming rápido y seguro. Pero se recomienda utilizar el método por vía aérea 802.11 r (FT).

Con WPA/WPA2/WPA3, las claves de cifrado no se ingresan en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.

Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES para el cifrado. Cuando se utilizan estos mecanismos para el cifrado, tanto los paquetes de señalización SIP como los paquetes del Protocolo de transporte en tiempo real de voz (RTP) se cifran entre el AP y el teléfono.

TKIP: WPA utiliza encriptación TKIP que tiene varias mejoras sobre WEP. TKIP proporciona el cifrado de claves por paquete y los vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, un código de integridad de mensaje (MIC) garantiza que los paquetes cifrados no se alteran. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave WEP.
AES: Un método de cifrado utilizado para la autenticación WPA2/WPA3. Este estándar nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza el cifrado CBC (cadena de bloqueo de cifrado) de 128 bits de tamaño, que admite tamaños de clave de 128 bits, 192 bits y 256 bits, como mínimo. El teléfono admite un tamaño de clave de 256 bits.

Los teléfonos de escritorio Cisco 9861 y 9871 y el teléfono con video Cisco 8875 no admiten el protocolo de integridad de clave (CKIP) Cisco con CMIC.

Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

Cuando utiliza la clave precompartida WPA, la clave precompartida WPA2 o SAE, la clave precompartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.
El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para el modo EAP-TLS, debe especificarlo.

Los esquemas de autenticación y cifrado en la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración de AP.

Tabla 3. Autenticación y esquemas de cifrado
Tipo de FSR	Autenticación	Administración de teclas	Cifrado	Marco de gestión protegido (PMF)
802.11r (FT)	PSK	WPA-PSK WPA-PSK-SHA256 FT-PSK	AES	No
802.11r (FT)	WPA3	SAE FT-SAE	AES	Sí
802.11r (FT)	EAP-TLS	WPA-EAP FT-EAP	AES	No
802.11r (FT)	EAP-TLS (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Sí
802.11r (FT)	EAP-FAST	WPA-EAP FT-EAP	AES	No
802.11r (FT)	EAP-FAST (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Sí
802.11r (FT)	EAP-PEAP	WPA-EAP FT-EAP	AES	No
802.11r (FT)	EAP-PEAP (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	Sí

Configurar el perfil Wi-Fi

Puede configurar un perfil de Wi-Fi en la página web del teléfono o con la resincronización de perfil de dispositivo remoto y, a continuación, asociar el perfil a las redes Wi-Fi disponibles. Puede usar este perfil de Wi-Fi para conectarse a una red Wi-Fi. Actualmente, solo se puede configurar un perfil Wi-Fi.

El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor telefónico con Wi-Fi. Cuando crea y utiliza un perfil Wi-Fi, usted o sus usuarios no necesitan configurar la red inalámbrica para teléfonos individuales.

Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario puede realizar en la configuración de Wi-Fi del teléfono.

Le recomendamos que utilice un perfil seguro con protocolos de cifrado habilitados para proteger claves y contraseñas cuando utilice un perfil Wi-Fi.

Cuando configura los teléfonos para usar el método de autenticación EAP-FAST en modo de seguridad, sus usuarios necesitan credenciales individuales para conectarse a un punto de acceso.

1	Acceda a la página web del teléfono.
2	Seleccione Voice (Voz) > System (Sistema).
3	En la sección Wi-Fi Perfil (n), configure los parámetros como se describe en la siguiente tabla Parámetros para el perfil Wi-Fi. La configuración del perfil Wi-Fi también está disponible para el inicio de sesión del usuario.
4	Haga clic en Submit All Changes.

Parámetros para el perfil Wi-Fi

En la siguiente tabla, se define la función y el uso de cada parámetro de la sección Wi-Fi Profile(n) (Perfil de Wi-Fi (n.º)) en la pestaña System (Sistema) de la página web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.XML) para configurar un parámetro.

Parámetro	Descripción
Nombre de red	Permite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` En la página web del teléfono, ingrese un nombre para el SSID. Valor predeterminado: Empty (Vacío)
Modo de seguridad	Permite seleccionar el método de autenticación que se utiliza para proteger el acceso a la red Wi-Fi. Dependiendo del método que elijas, aparecerá un campo de contraseña para que puedas proporcionar las credenciales necesarias para unirte a esta red Wi-Fi. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- opciones disponibles: Automático\|EAP-FAST\|\|\|PSK\|\|Ninguno\|EAP-PEAP\|EAP-TLS -->` En la página web del teléfono, seleccione uno de los métodos: Automático EAP-FAST PSK Ninguno EAP-PEAP EAP-TLS Valor predeterminado: automático
Identificador de usuario de Wi-Fi	Permite ingresar un Identificador de usuario para el perfil de red. Este campo está disponible cuando configura el modo de seguridad en Automático, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` En la página web del teléfono, ingrese un ID de usuario para el perfil de red. Valor predeterminado: Empty (Vacío)
Contraseña de Wi-Fi	Permite ingresar la contraseña para el Identificador de usuario de Wi-Fi especificado. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` En la página web del teléfono, ingrese una contraseña para el ID de usuario que haya agregado. Valor predeterminado: Empty (Vacío)
Banda de frecuencias	Permite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Banda_de_frecuencia_1_ ua="rw">Automático</Banda_de_frecuencia_1_>` En la página web del teléfono, seleccione una de las opciones: Automático 2,4 GHz 5 GHz Valor predeterminado: automático
Seleccionar certificado	Le permite seleccionar un tipo de certificado para la inscripción inicial y la renovación del certificado en la red inalámbrica. Este proceso solo está disponible para la autenticación 802.1X. Realice una de las siguientes acciones: En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato: `<Certificate_Select_1_ ua="rw">Fabricación instalada</Certificate_Select_1_>` En la página web del teléfono, seleccione una de las opciones: Fabricación instalada Instalación personalizada Predeterminado: Fabricación instalada

Comprobar el estado de seguridad del dispositivo en el teléfono

Su teléfono verifica automáticamente el estado de seguridad del dispositivo. Si detecta posibles amenazas de seguridad en el teléfono, el Problemas y diagnósticos El menú puede mostrar los detalles de los problemas. Según los problemas informados, su administrador puede tomar medidas para proteger y fortalecer su teléfono.

El estado de seguridad del dispositivo está disponible antes de que el teléfono se registre en el sistema de control de llamadas (Webex Calling o BroadWorks).

Para ver detalles de los problemas de seguridad en la pantalla del teléfono, haga lo siguiente:

1	Presione Settings (Ajustes).
2	Seleccionar Problemas y diagnósticos > Asuntos. Actualmente, el informe de seguridad del dispositivo contiene los siguientes problemas: Confianza del dispositivo Falló la autenticación del dispositivo Se detectó manipulación del SoC Configuración vulnerable SSH habilitado Telnet habilitado Se detectó un evento de anomalía de red Intentos excesivos de inicio de sesión web Se detectó alto tráfico UDP Solicitudes de marca de tiempo ICMP sospechosas Emisión de certificado Caducidad del certificado del dispositivo personalizado
3	Comuníquese con su administrador para obtener ayuda para resolver los problemas de seguridad.

Gracias por sus comentarios.

Cisco IP Phone en 9800/8875 (Multiplataforma)