En este artículo
Funciones de seguridad compatibles
dropdown icon
Seguridad de llamadas telefónicas
    Identificación segura de llamadas de conferencia
    Identificación de llamadas de teléfono seguras
    Proporcionar cifrado para la intrusión
dropdown icon
Seguridad de LAN inalámbrica
    Configurar un perfil Wi-Fi
    Instalar un certificado de usuario desde la página web de administración del teléfono
    Instalar una CA del servidor de autenticación desde la página web de administración del teléfono
    Eliminar manualmente un certificado de seguridad de la página web de administración del teléfono
    Configurar SCEP
Configurar certificado significativo localmente (LSC)
dropdown icon
Autenticación 802.1X para redes cableadas
    Habilitar la autenticación 802.1X para redes cableadas en el teléfono
    Habilite la autenticación 802.1X para redes cableadas en Cisco Unified Communications Manager Administration
    Menú Configuración de seguridad en el teléfono
Configurar las versiones compatibles de TLS
TURN apagado altavoz y auriculares en Cisco teléfono inalámbrico 9821
Cisco Seguridad del teléfono inalámbrico 9821 (Unified CM)
list-menuEn este artículo
list-menu¿Comentarios?

Este artículo de Ayuda es para Cisco Wireless Phone 9821 registrado en Cisco Unified Communications Manager (Unified CM).

Puede habilitar Cisco Unified Communications Manager (Unified CM) para operar en un entorno de seguridad mejorado. Con estas mejoras, la red telefónica funciona bajo un conjunto de estrictos controles de seguridad y administración de riesgos para protegerlo a usted y a sus usuarios.

El entorno de seguridad mejorado incluye las siguientes funciones:

  • Autenticación de búsqueda de contactos

  • TCP como protocolo predeterminado para el registro de auditoría remoto

  • Una política de credenciales mejorada

  • Compatibilidad con la familia SHA-2 de hashes para firmas digitales

  • Soporte para un tamaño de clave RSA de hasta 4096 bits

Con Cisco Unified CM Release 14.0 o posterior, los teléfonos admiten la autenticación SIP OAuth.

OAuth es compatible con Proxy Trivial File Transfer Protocol (TFTP) con Cisco Unified CM versión 14.0 (1) SU1 o posterior.

Para obtener información adicional acerca de la seguridad, consulte las siguientes guías:

El teléfono solamente puede almacenar un número limitado de archivos de lista de identidad de confianza (ITL). Los archivos ITL no pueden exceder los 64K en el teléfono, así que limite la cantidad de archivos que Cisco Unified CM envía al teléfono.

Funciones de seguridad compatibles

Las funciones de seguridad protegen contra amenazas, incluidas las amenazas para la identidad del teléfono y los datos. Estas funciones establecen y mantienen flujos de comunicación autenticados entre el teléfono y Cisco Unified Communications Manager server, y garantizan que el teléfono solo utilice los archivos firmados digitalmente.

Cisco Unified Communications Manager versión 8.5 (1) y posteriores incluye seguridad predeterminada, que proporciona las siguientes funciones de seguridad para teléfonos IP Cisco sin ejecutar el cliente de CTL:

  • Firma de los archivos de configuración del teléfono

  • Cifrado de archivos de configuración del teléfono

  • HTTPS con Tomcat y otros servicios Web

Las funciones de señalización y medios seguros aún requieren que ejecute el cliente de CTL y utilice hardware con eTokens.

Al implementar la seguridad en el sistema de Cisco Unified Communications Manager se evita el robo de identidad del teléfono y Cisco Unified Communications Manager server, la manipulación de datos y la manipulación de la señalización de llamadas y de flujos de medios.

Para mitigar estas amenazas, la red de telefonía IP de Cisco establece y mantiene flujos de comunicación seguros (cifrados) entre un teléfono y el servidor, firma digitalmente los archivos antes de transferirlos a un teléfono y cifra los flujos de medios y la señalización de llamadas entre teléfonos IP Cisco.

Un certificado significativo localmente (LSC) se instala en teléfonos luego de realizar las tareas necesarias relacionadas con la Certificate Authority Proxy Function (CAPF, Función de proxy de autoridad de certificación). Puede usar Cisco Unified Communications Manager Administration para configurar un LSC, como se describe en la Guía de seguridad Cisco Unified Communications Manager. Alternativamente, puede iniciar la instalación de un LSC desde el menú Seguridad en el teléfono. Este menú también le permite actualizar o eliminar un LSC.

Los teléfonos utilizan el perfil de seguridad, que define si el dispositivo es seguro o no. Para obtener información sobre cómo aplicar el perfil de seguridad en el teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Si configura ajustes relacionados con la seguridad en Administración de Cisco Unified Communications Manager, el archivo de configuración del teléfono contiene información confidencial. Para garantizar la privacidad de un archivo de configuración, debe configurarlo para el cifrado. Para obtener información detallada, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

En la siguiente tabla, se proporciona una descripción general de las funciones de seguridad que los teléfonos admiten. Para obtener información adicional, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Tabla 1. Descripción general de las funciones de seguridad

Función

Descripción

Autenticación de imagen

Los archivos binarios firmados impiden que se manipule la imagen de firmware antes de que se cargue la imagen en el teléfono.

Si manipula la imagen, el teléfono no podrá procesar la autenticación y rechazará la nueva imagen.

Instalación del certificado en el sitio del cliente

Cada Teléfono IP Cisco requiere un certificado único para la autenticación de dispositivo. Los teléfonos incluyen un certificado de fabricación instalado (MIC), pero para mayor seguridad, puede especificar la instalación de certificados En Administración de Cisco Unified Communications Manager mediante la Certificate Authority Proxy Function (CAPF, función de proxy de autoridad de certificación). Alternativamente, puede instalar un Locally Significant Certificate (LSC) desde el menú Seguridad en el teléfono.

Device authentication (Autenticación de dispositivos)

Ocurre entre el Cisco Unified Communications Manager server y el teléfono cuando cada entidad acepta el certificado de la otra entidad. Determina si debe producirse una conexión segura entre el teléfono y un Cisco Unified Communications Manager. y, si es necesario, crea una ruta de señalización segura entre las entidades mediante el protocolo TLS. Cisco Unified Communications Manager no registra teléfonos a menos que pueda autenticarlos.

Autenticación de archivo

Valida los archivos firmados digitalmente que el teléfono descarga. El teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional.

Cifrado de archivo

El cifrado impide que se revele información confidencial mientras el archivo se encuentra en tránsito al teléfono. Además, el teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional.

Autenticación de señalización

Utiliza el protocolo de TLS para validar que no se ha producido ninguna manipulación a un paquete de señalización durante la transmisión.

Certificados instalados por el fabricante

Cada Teléfono IP Cisco contiene un certificado de fabricación instalado (MIC), que se utiliza para la autenticación de dispositivo. El MIC proporciona una prueba de identidad única y permanente para el teléfono y permite que Cisco Unified Communications Manager autentique el teléfono.

Cifrado de medios

Utiliza SRTP para asegurarse de que los flujos de medios entre los dispositivos compatibles se prueben de manera segura y de que solo el dispositivo deseado reciba y lea los datos. Incluye la creación de un par de claves principales de medios para los dispositivos, la entrega de las claves a los dispositivos y la protección de la entrega de las teclas durante el transporte de las teclas.

CAPF (Certificate Authority Proxy Function, Función de proxy de autoridad de certificación)

Implementa partes del procedimiento de generación de certificados que son demasiado intensivas para el procesamiento para el teléfono e interactúa con el teléfono para la generación de teclas y la instalación de certificados. El CAPF se puede configurar para que solicite certificados de entidades emisoras de certificados especificadas por el cliente en nombre del teléfono, o se puede configurar para que genere certificados localmente.

Se admiten los tipos de teclas EC (curva elíptica) y RSA. Para utilizar la clave EC, asegúrese de que el parámetro "Endpoint Advanced Encryption Algorithms Support" (del parámetro System >Enterprise) esté habilitado.

Para obtener más información acerca de CAPF y configuraciones relacionadas, consulte los siguientes documentos:

Perfil de seguridad

Define si el teléfono es no seguro, autenticado, cifrado o protegido. Otras entradas de esta tabla describen las funciones de seguridad.

Archivos de configuración cifrada

Permite garantizar la privacidad de los archivos de configuración del teléfono.

Desactivación de un servidor web opcional para un teléfono

Por razones de seguridad, puede impedir el acceso a las páginas web de un teléfono (que muestran varias estadísticas operativas para el teléfono) y el Portal de atención automática.

Mejora del teléfono

Opciones de seguridad adicionales, que puede controlar desde Administración de Cisco Unified Communications Manager:

  • Desactivar ARP gratuito (GARP)
  • Desactivar el acceso al menú Setting (Configuración) o proporcionar acceso restringido
  • Deshabilitar el acceso a las páginas web de administración del teléfono
  • Desactivar el puerto de accesorio Bluetooth
  • Restricción de cifrado de TLS

Conmutación por error de SIP segura para SRST

Después de configurar una referencia de telefonía (SRST) de referencia de seguridad y restablecer los dispositivos dependientes En Administración de Cisco Unified Communications Manager, el servidor TFTP agrega el certificado de SRST al archivo de teléfono cnf. xml y envía el archivo al teléfono. A continuación, un teléfono seguro utiliza una conexión TLS para interactuar con el router habilitado para SRST.

Cifrado de señalización

Garantiza que se cifren todos los mensajes de señalización SIP que se envían entre el dispositivo y el Cisco Unified Communications Manager server.

Alarma de actualizar la lista confiable

Cuando la lista confiable se actualiza en el teléfono, el Cisco Unified Communications Manager recibe una alarma para indicar el éxito o fracaso de la actualización. Para obtener más información, consulte la siguiente tabla.

Cifrado AES-256

Cuando se conecta a Cisco Unified Communications Manager versión 10.5 (2) y posteriores, los teléfonos son compatibles con AES 256 cifrado admitido para TLS y SIP para la señalización y el cifrado de medios. Esto permite que los teléfonos inicien y admitan conexiones TLS 1,2 utilizando cifrados basados en AES-256 que se ajustan a los estándares SHA-2 (algoritmo de Hash seguro) y cumplen los estándares federales de procesamiento de información (FIPS). Los cifrados incluyen lo siguiente:

  • Para conexión TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Para sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager.

Certificados de algoritmo de firma digital de curva elíptica (ECDSA)

Como parte de la certificación de Criterios comunes (CC), Cisco Unified Communications Manager; se agregaron certificados ECDSA en la versión 11.0. Esto afecta a todos los productos de sistema operativo de voz (VOS) que ejecutan CUCM 11.5 y versiones posteriores.

Certificado Tomcat multiservidor (SAN) con Cisco UCM

El teléfono admite Cisco UCM con certificados Tomcat multiservidor (SAN) configurados. La dirección correcta del servidor TFTP se puede encontrar en el archivo ITL del teléfono para el registro del teléfono.

Para obtener más información acerca de la característica, consulte lo siguiente:

La siguiente tabla contiene los mensajes de aviso de actualización de la lista confiable y su significado. Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager.

Tabla 2. Mensajes de aviso de actualización de la lista confiable
Código y mensaje Descripción

1-TL_SUCCESS

Se recibieron nuevos CTL o ITL

2-CTL_INITIAL_SUCCESS

Se recibieron nuevos CTL; no hay ningún TL existente

3-ITL_INITIAL_SUCCESS

Se recibieron nuevos ITL; no hay ningún TL existente

4-TL_INITIAL_SUCCESS

Se recibieron nuevos CTL; no hay ningún TL existente

5-TL_FAILED_OLD_CTL

Error en la actualización del CTL nuevo, pero tiene el TL anterior

6-TL_FAILED_NO_TL

Error en la actualización del TL nuevo y no tiene ningún TL anterior

7-TL_FAILED

Error genérico

8-TL_FAILED_OLD_ITL

Error en la actualización del ITL nuevo, pero tiene el TL anterior

9-TL_FAILED_OLD_TL

Error en la actualización del TL nuevo, pero tiene el TL anterior

Seguridad de llamadas telefónicas

Cuando se implementa la seguridad para un teléfono, puede identificar llamadas telefónicas seguras por íconos en la pantalla del teléfono. También puede determinar si el teléfono conectado está seguro y protegido si se reproduce un tono de seguridad al inicio de la llamada.

En una llamada segura, todas las señales de llamadas y flujos de medios se cifran. Una llamada segura ofrece un alto nivel de seguridad, proporcionando integridad y privacidad a la llamada. Cuando una llamada en curso está cifrada, puede ver el icono de seguridad Icono de llamada segura 9821 En la línea.

  • Si la llamada se enruta a través de segmentos de llamada que no son IP, por ejemplo, PSTN, es posible que la llamada no sea segura, aunque esté cifrada en la red IP y tenga un ícono de candado asociado.

  • Solo se admiten llamadas seguras para conexiones entre dos teléfonos. Algunas funciones, como las llamadas de conferencia y las líneas compartidas, no están disponibles cuando se configura la llamada segura.

En Cisco Unified Communications Manager, a los teléfonos configurados como seguros (cifrados y de confianza) se les puede asignar un estado protegido. Una vez protegidos, estos dispositivos se pueden configurar para reproducir un tono de seguridad al comienzo de cada llamada.

  • Dispositivo protegido:

    Para cambiar el estado de un teléfono seguro a protegido:

    1. En Cisco Unified Communications Manager Administration, seleccione Dispositivo > Teléfono.
    2. Localice el teléfono que va a configurar.
    3. En la ventana Configuración del teléfono, seleccione la casilla de verificación Dispositivo protegido.
    4. Haga clic en Guardar.
  • Reproducir tono de indicación seguro:

    Para permitir que el teléfono protegido reproduzca un tono de indicación seguro o no seguro:

    1. En Cisco Unified Communications Manager Administration, seleccione Parámetros del sistema >servicio.
    2. Seleccione el servidor y, a continuación, el servicio Cisco CallManager .
    3. En el área Parámetros de todo el clúster (Función - Tono seguro), establezca la configuración Reproducir tono para indicar estado de llamada seguro/no seguro en Verdadero.
    4. Haga clic en Guardar.

Identificación segura de llamadas de conferencia

Puede iniciar una llamada de conferencia segura y supervisar el nivel de seguridad de los participantes. La llamada de conferencia segura se establece mediante este proceso:

  1. El usuario inicia la conferencia desde un teléfono seguro.

  2. Cisco Unified Communications Manager asigna un puente de conferencia seguro a la llamada.

  3. A medida que se agregan participantes, Cisco Unified Communications Manager verifica el modo de seguridad de cada teléfono y mantiene el nivel seguro de la conferencia.

  4. El teléfono muestra el nivel de seguridad de la llamada de conferencia. Una conferencia segura muestra el icono de seguridad Icono de llamada segura 9821.

La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.

En la siguiente tabla, se proporciona información acerca de los cambios en los niveles de seguridad de conferencia según el nivel de seguridad del teléfono del iniciador, los niveles de seguridad de los participantes y la disponibilidad de puentes de conferencia seguros.

Tabla 3. Restricciones de seguridad con llamadas de conferencia

Nivel de seguridad del teléfono del iniciador

Función utilizada

Nivel de seguridad de los participantes

Resultados de la acción

No seguro

Conferencia

Seguro

Puente de conferencia no seguro

Conferencia no segura

Seguro

Conferencia

Al menos un miembro no es seguro.

Puente de conferencia seguro

Conferencia no segura

Seguro

Conferencia

Seguro

Puente de conferencia seguro

Conferencia de nivel de cifrado seguro

No seguro

Meet Me

El nivel de seguridad mínimo está cifrado.

El iniciador recibe el tono de reorden.

Seguro

Meet Me

El nivel de seguridad mínimo no es seguro.

Puente de conferencia seguro

La conferencia acepta todas las llamadas.

Identificación de llamadas de teléfono seguras

Se establece una llamada segura cuando el teléfono, y el teléfono del otro extremo está configurado para llamadas seguras. El otro teléfono puede estar en la misma red de Cisco IP o en una red fuera de la red IP. Solo se pueden realizar llamadas seguras entre dos teléfonos. Las llamadas de conferencia deben admitir la llamada segura después de configurar el puente de conferencia seguro.

Se establece una llamada segura mediante este proceso:

  1. El usuario inicia la llamada desde un teléfono seguro (modo seguro asegurado).

  2. El teléfono muestra el icono de seguridad Icono de llamada segura 9821 En la pantalla del teléfono. Este ícono indica que el teléfono está configurado para llamadas seguras, pero esto no quiere decir que el otro teléfono conectado también esté asegurado.

  3. El usuario escucha un tono de seguridad si la llamada se conecta a otro teléfono seguro, lo que indica que ambos extremos de la conversación están cifrados y son seguros. Si la llamada se conecta a un teléfono no seguro, el usuario no escucha el tono de seguridad.

La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.

Solo los teléfonos protegidos reproducen estos pitidos de indicación seguros o no seguros. Los teléfonos no protegidos nunca reproducen tonos. Si el estado general de la llamada cambia durante la llamada, el pitido de indicación cambia y el teléfono protegido reproduce el tono apropiado.

Cuando la opción Reproducir tono para indicar el estado de la llamada segura/no segura está configurada en Verdadero:

  • Cuando se establecen medios seguros de un extremo a otro y el estado de la llamada es seguro, el teléfono reproduce el pitido de indicación segura (tres pitidos largos con pausas).

  • Cuando se establece un medio no seguro de un extremo a otro y el estado de la llamada es no segura, el teléfono reproduce el pitido de indicación no segura (seis pitidos cortos con pausas breves).

Si la opción Reproducir tono para indicar el estado seguro o no seguro de la llamada está configurada en Falso, no se reproduce ningún tono.

Proporcionar cifrado para la intrusión

Cisco Unified Communications Manager verifica el estado de seguridad del teléfono cuando se establecen conferencias y cambia la indicación de seguridad para la conferencia o bloquea la finalización de la llamada para mantener la integridad y seguridad en el sistema.

Un usuario no puede irrumpir en una llamada cifrada si el teléfono que se utiliza para la intrusión no está configurado para el cifrado. Cuando la barcaza falla en este caso, se reproduce un tono de reordenación (ocupado rápido) en el teléfono que indica que se inició la barcaza.

Si el teléfono iniciador está configurado para el cifrado, el iniciador de la intrusión puede irrumpir en una llamada no segura desde el teléfono cifrado. Después de que se produce la intrusión, Cisco Unified Communications Manager clasifica la llamada como no segura.

Si el teléfono iniciador está configurado para el cifrado, el iniciador de la barcaza puede irrumpir en una llamada cifrada y el teléfono indica que la llamada está cifrada.

Seguridad de LAN inalámbrica

Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura Cisco SAFE Security es compatible con el teléfono. Para obtener más información acerca de la seguridad en redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía Cisco Wireless IP proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono.

  • Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.

  • Protocolo de autenticación extensible: autenticación flexible mediante tunelización segura (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).

    El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.

    En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.

  • Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbrico, el certificado de cliente puede ser MIC, LSC, o certificado instalado por el usuario.

  • protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede usar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.

  • Clave precompartida (PSK): El teléfono admite los formatos ASCII y hexadecimal (HEX). Debe utilizar estos formatos al configurar una clave precompartida WPA2/SAE.

    ASCII: Una cadena de caracteres ASCII con 8 a 63 caracteres de longitud (0-9, minúsculas a-z, mayúsculas A-Z y caracteres especiales). Por ejemplo, GREG123567@9ZX&W.

    HEX: una cadena de caracteres hexadecimales con 64 dígitos hexadecimales de longitud (0-9, a-f o A-F).

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

  • WPA2/WPA3: utiliza información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.

  • Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura.

Con WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.

Para ayudar a proteger el tráfico de voz a través del enlace inalámbrico, el teléfono admite el cifrado basado en AES para la autenticación WPA2/WPA3. AES es un cifrado de bloques simétrico estandarizado por NIST. AES utiliza un tamaño de bloque fijo de 128 bits y admite tamaños de clave de 128 bits, 192 bits y 256 bits. En redes Wi-Fi, AES es utilizado por conjuntos de cifrado como CCMP o GCMP, mientras que la autenticación es proporcionada por separado por PSK, SAE o 802.1X / EAP, dependiendo del modo de seguridad WLAN configurado. El conjunto de cifrado y el tamaño de clave admitidos dependen del modelo de teléfono y la configuración WLAN.

Cuando el teléfono utiliza el cifrado AES, tanto los paquetes SIP de señalización como los paquetes del Protocolo de transporte en tiempo real de voz (RTP) se cifran entre el AP y el teléfono.

Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

Cuando utiliza la clave precompartida WPA2 o SAE, la clave previamente compartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.

Los esquemas de autenticación y cifrado en la siguiente tabla muestran las opciones de configuración de red para Cisco Wireless Phone 9821 que corresponde a la configuración de AP.

Tabla 4. Autenticación y esquemas de cifrado
FSR TipoAutenticaciónAdministración de teclasEncriptaciónMarco de administración protegido (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
No FTSuite-BWPA-EAP-SUITE-BGCMP
No FTSuite-B-192WPA-EAP-SUITE-B-192GCMP

Configurar un perfil Wi-Fi

Puede configurar un perfil Wi-Fi y asignarlo al Cisco Wireless Phone 9821. Este perfil contiene los parámetros necesarios para que el teléfono establezca una conexión Wi-Fi y posteriormente se registre con Cisco Unified CM. Cuando crea y utiliza un perfil Wi-Fi, usted o sus usuarios no necesitan configurar la red inalámbrica para teléfonos individuales.

Se recomienda utilizar un perfil seguro con cifrado TFTP activado para proteger las claves y contraseñas cuando utiliza un perfil de Wi-Fi.

Los teléfonos admiten un certificado de servidor por método de instalación (manual, SCEP o TFTP).

Antes de configurar el perfil de WLAN, tenga en cuenta las siguientes notas:

  • Nombre de usuario y contraseña

    • Cuando la red utiliza EAP-FAST y PEAP para la autenticación de usuario, debe configurar el nombre de usuario y la contraseña si es necesario en el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) y en el teléfono.

    • Las credenciales que introduzca en el perfil LAN inalámbrica deben ser idénticas a las credenciales que configuró en el servidor RADIUS.
    • Si usa dominios dentro de su red, debe introducir el nombre de usuario con el nombre de dominio, en el formato: dominio o nombre de usuario.

  • Las siguientes acciones pueden hacer que se borre la contraseña de Wi-Fi existente:

    • Introducir un ID de usuario o contraseña no válidos
    • Instalar una CA raíz no válida o caducada cuando el tipo de EAP está configurado como PEAP-MSCHAPV2 o PEAP-GTC
    • Desactivar el tipo de EAP en uso en el servidor RADIUS antes de cambiar el teléfono al nuevo tipo de EAP
  • Para cambiar el tipo de EAP, asegúrese de activar primero el tipo de EAP nuevo en el servidor RADIUS y luego cambie el teléfono al tipo de EAP. Cuando todos los teléfonos se han cambiado a un tipo de EAP nuevo, puede deshabilitar el tipo de EAP anterior si lo desea.
1

En Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Device Settings (Configuración del dispositivo) > Wireless LAN Profile (Perfil LAN inalámbrico).

2

Haga clic en Add New (Agregar nuevo).

3

En la sección Wireless LAN Profile Information (Información del perfil de LAN inalámbrica), defina los parámetros:

  • Nombre: introduce un nombre único para el perfil Wi-Fi. Este nombre se muestra en el teléfono.

  • Descripción: introduce una descripción para el perfil Wi-Fi que te ayude a diferenciar este perfil de otros perfiles Wi-Fi.

  • Modificable por el usuario: seleccione una opción:

    • Permitido: indica que el usuario puede realizar cambios en la configuración Wi-Fi desde su teléfono. Esta opción está seleccionada de forma predeterminada.

    • No permitido: indica que el usuario no puede realizar ningún cambio en la configuración Wi-Fi de su teléfono.

    • Restringido: indica que el usuario puede cambiar el nombre de usuario y la contraseña Wi-Fi en su teléfono. Pero los usuarios no pueden realizar cambios en otras configuraciones Wi-Fi en el teléfono. Cuando la red utiliza EAP-TLS para la autenticación de usuarios, el usuario puede elegir el tipo de certificado (MIC, LSC o Usuario instalado).

4

En la sección Configuración inalámbrica, establezca los parámetros:

  • SSID (Nombre de red): introduzca el nombre de red disponible en el entorno de usuario al que se puede conectar el teléfono. Este nombre aparece en la lista de redes disponibles del teléfono y el teléfono puede conectarse a esta red inalámbrica.

  • Banda de frecuencia: las opciones disponibles son Automática, 2,4 GHz y 5 GHz. Este campo determina la banda de frecuencia que utiliza la conexión inalámbrica. Si selecciona Auto, el teléfono intenta usar primero la banda de 5 GHz o 6 GHz y solo usa la banda de 2.4 GHz cuando 5 GHz o 6 GHz no están disponibles.

5

En la sección Configuración de autenticaciones, establezca el Método de autenticación en uno de estos métodos de autenticación: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK y Ninguno.

Cisco Wireless Phone 9821 no es compatible con WEP.

Después de establecer este campo, es posible que vea campos adicionales que necesita establecer.

  • Certificado de usuario: necesario para la autenticación EAP-TLS. Seleccione MIC, LSC o Usuario instalado. El teléfono requiere que se instale un certificado, ya sea automáticamente desde el SCEP o manualmente desde la página de administración del teléfono.

  • Frase de contraseña PSK: necesaria para la autenticación PSK. Ingrese la frase de contraseña de 8 a 63 caracteres ASCII o 64 caracteres HEX.

  • Proporcionar credenciales compartidas: necesarias para la autenticación EAP-FAST, PEAP-MSCHAPv2 y PEAP-GTC.

    • Si el usuario administra el nombre de usuario y la contraseña, deje en blanco los campos Nombre de usuario y Contraseña .

    • Si todos sus usuarios comparten el mismo nombre de usuario y contraseña, puede introducir la información en los campos Nombre de usuario y Contraseña .

    • Introduzca una descripción en el campo Descripción de la contraseña .

    Si necesita asignar a cada usuario un nombre de usuario y una contraseña únicos, debe crear un perfil para cada usuario.

Cisco Wireless Phone 9821 no admite el campo Perfil de acceso a la red.

6

Haga clic en Guardar.

Qué hacer a continuación

Enlace el perfil de LAN inalámbrica a un grupo de perfiles WLAN y, a continuación, aplique el grupo de perfiles WLAN a un grupo de dispositivos (grupo > dispositivos) o directamente al teléfono ( dispositivo >teléfono).

Instalar un certificado de usuario desde la página web de administración del teléfono

Puede instalar manualmente un certificado de usuario en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

El certificado instalado en fabricación (MIC) preinstalado se puede utilizar como certificado de usuario para EAP-TLS.

Después de instalar el certificado de usuario, debe agregar la cadena de CA que emitió el certificado de usuario a la lista de confianza del servidor RADIUS.

Antes de comenzar

Para poder instalar un certificado de usuario para un teléfono, debe tener:

  • Certificado de usuario guardado en su PC. El certificado debe tener formato PKCS #12.

  • La contraseña de extracción del certificado. La longitud de la contraseña no debe superar los 32 caracteres.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el campo User installed (Usuario instalado) y haga clic en Install (Instalar).

3

Busque el certificado en la PC.

4

En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado.

5

Haga clic en Upload (Cargar).

6

Reinicie el teléfono después de haber terminado la carga.

Instalar una CA del servidor de autenticación desde la página web de administración del teléfono

Puede instalar manualmente una CA del servidor de autenticación en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

El certificado de CA raíz que emitió el certificado de servidor RADIUS debe estar instalado.

Antes de comenzar

Para poder instalar un certificado en un teléfono, debe tener una CA de servidor de autenticación guardada en su PC. El certificado debe estar codificado en PEM (base-64) o DER.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el campo Authentication server CA (CA del servidor de autenticación) y haga clic en Install (Instalar).

3

Busque el certificado en la PC.

4

Haga clic en Upload (Cargar).

5

Reinicie el teléfono después de haber terminado la carga.

Eliminar manualmente un certificado de seguridad de la página web de administración del teléfono

Puede quitar manualmente un certificado de seguridad de un teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el certificado en la página Certificados.

3

Haga clic en Delete (Eliminar).

4

Reinicie el teléfono después de que finalice el proceso de eliminación.

Configurar SCEP

El protocolo simple de inscripción de certificados (SCEP) es el estándar para aprovisionar y renovar automáticamente los certificados. Evita la instalación manual de certificados en sus teléfonos.

Activar los parámetros de configuración específicos del producto SCEP

Debe configurar los siguientes parámetros SCEP en Cisco Unified Communications Manager (Unified CM).

  • Dirección IP RA o nombre de host

  • Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP

La autoridad de registro de Cisco IOS (RA) sirve como proxy para el servidor SCEP. El cliente SCEP en el teléfono utiliza los parámetros que se descargan de Cisco Unified CM. Después de configurar los parámetros, el teléfono envía una solicitud SCEP getcs al RA y el certificado de CA raíz se valida utilizando la huella digital definida.

1

Desde Cisco Unified Communications Manager Administration, seleccione Dispositivo > Teléfono.

2

Busque el teléfono.

3

Desplácese hasta el área Configuración específica del producto.

4

Seleccione la casilla de verificación WLAN servidor SCEP para activar el parámetro SCEP.

5

Seleccione la casilla WLAN Huella digital de CA raíz (SHA256 o SHA1) para activar el parámetro SCEP QED.

Compatibilidad con servidores SCEP

Si utiliza un servidor de Protocolo simple de inscripción de certificados (SCEP), el servidor puede mantener automáticamente los certificados de usuario y servidor. En el servidor SCEP, configure el agente de registro SCEP (RA) para:

  • Actuar como punto de confianza de PKI

  • Actuar como una RA de la PKI

  • Realice la autenticación de dispositivo con un servidor RADIUS

Para obtener más información, consulte la documentación de servidor SCEP.

Configurar certificado significativo localmente (LSC)

Hay algunos métodos para instalar un LSC. Esta tarea de ejemplo se aplica a la configuración de un LSC con el método de cadena de autenticación en Cisco Wireless Phone 9821.

Antes de comenzar

Asegúrese de que las configuraciones de seguridad Cisco Unified CM y certificate authority proxy function (CAPF) adecuadas estén completas.

  • El archivo CTL o ITL tiene un certificado CAPF.

  • En la Administración del sistema operativo de Cisco Unified Communications, verifique que el certificado CAPF esté instalado.

  • El CAPF está en ejecución y configurado.

Para obtener más información acerca de estas configuraciones, consulte la documentación de su versión Cisco Unified CM particular.

1

Obtenga la cadena de autenticación CAPF que se estableció cuando se configuró el CAPF.

2

En el teléfono, acceda a Configuración 9821 Settings app icon aplicación.

3

Seleccione Configuración de administrador> Configuración del sistema> Seguridad > LSC.

4

Introduzca la cadena de autenticación.

5

Prensa más 9821 More button y seleccione Enviar.

El teléfono comienza a instalar, actualizar o eliminar el LSC, según la configuración del CAPF. Cuando se completa el procedimiento, se muestra Instalado o No instalado en el teléfono.

El proceso de instalación, actualización o eliminación de LSC puede tardar bastante tiempo en completarse.

Cuando el procedimiento de instalación del teléfono se realiza correctamente, aparece el mensaje Instalado. Si en el teléfono aparece No instalado, es posible que la cadena de autorización sea incorrecta o que la actualización del teléfono no esté activada. Si la operación de CAPF elimina el LSC, el teléfono muestra No instalado para indicar que la operación se realizó correctamente. El servidor CAPF registra los mensajes de error. Consulte la documentación del servidor CAPF para localizar los registros y comprender el significado de los mensajes de error.

Autenticación 802.1X para redes cableadas

Cisco Wireless Phone 9821 admite autenticación 802.1X para redes cableadas. Por lo general, se utiliza durante el aprovisionamiento automático cuando el teléfono está conectado al cargador de escritorio a través de un adaptador USB a Ethernet compatible.

La compatibilidad con la autenticación 802.1X en redes cableadas requiere varios componentes de la siguiente manera:

  • Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.

  • Servidor de autenticación: tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido RADIUS.

  • Switch: El switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes EAP entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea.

Para configurar 802.1X, debe realizar las siguientes acciones.

  • Configure la omisión CDP/LLDP VLAN voz.

  • Configure el servidor de autenticación y el conmutador antes de habilitar la autenticación 802.1X para redes cableadas en el teléfono.

  • Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.

    • Habilitado: Si está utilizando un switch que admite autenticación multidominio, puede configurarlo para usar el VLAN de voz.
    • Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
  • Cisco Wireless Phone 9821 tiene un prefijo diferente en el PID del de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir su Cisco Wireless Phone 9821.

    Por ejemplo, el PID del Cisco Wireless Phone 9821 es WP-9821. Puede establecer Radius· Nombre de usuario para comenzar con WP o Contiene WP en las dos secciones siguientes:

    • Política > Condiciones > Condiciones de la biblioteca

    • Conjuntos > directivas > Política de autorización> Regla de autorización 1

Habilitar la autenticación 802.1X para redes cableadas en el teléfono

Siga estos pasos para habilitar la autenticación 802.1X para redes cableadas en su teléfono. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.

1

Acceda a la configuración 9821 Settings app icon aplicación.

2

Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.

3

Seleccione Configuración de administrador> Configuración de seguridad> Autenticación 802.1X.

4

Resalte Autenticación de dispositivo y pulse Activado.

Habilite la autenticación 802.1X para redes cableadas en Cisco Unified Communications Manager Administration

Siga estos pasos para habilitar la autenticación 802.1X para redes cableadas en Cisco Unified CM. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.

Puede ver el estado de la transacción y la configuración de seguridad en el menú de la pantalla del teléfono. Para obtener más información, consulte Menú Configuración de seguridad en el teléfono.

1

En Cisco Unified Communications Manager Administration, seleccione Dispositivo > Teléfono.

2

Localice el teléfono que va a configurar.

3

Desplácese hasta el área Diseño de configuración específica del producto.

4

Seleccione Habilitado en el menú desplegable Autenticación 802.1x.

Cuando se configura como Habilitado o Deshabilitado, la opción de autenticación de dispositivo en Cisco Wireless Phone 9821 se convierte en de solo lectura, lo que impide que los usuarios modifiquen la configuración de autenticación 802.1X.

5

Seleccione Guardar.

6

Seleccione Aplicar configuración.

Menú Configuración de seguridad en el teléfono

Para ver la información sobre la configuración de seguridad desde el menú telefónico, acceda a Configuración 9821 Settings app icon y seleccione Configuración de administrador> Configuración de seguridad> Autenticación 802.1X. La disponibilidad de la información depende de la configuración de red de la organización.

Parámetros

Opciones

Predeterminado

Descripción

Device authentication (Autenticación de dispositivos)

Activado

Desactivada

Desactivada

Activa o deshabilita la autenticación 802.1X en el teléfono.

La configuración de parámetros se puede mantener después del registro listo para usar (OOB) del teléfono.

Estado de la transacción

Deshabilitado

Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a):

  • Autenticación: indica que el proceso de autenticación está en curso.
  • Autenticado: indica que el teléfono está autenticado.
  • Deshabilitado: indica que la autenticación 802.1x está desactivada en el teléfono.
  • Conectando: indica que el teléfono está enviando mensajes de inicio EAP al switch cada 30 segundos.
  • Adquirido: indica que el switch ha rechazado la solicitud EAP del teléfono y que el teléfono no recibe ningún desafío EAP-TLS o EAP-FAST del switch. El teléfono está reintentando enviar solicitudes EAP.
  • Desconectado: indica que el cable Ethernet está desconectado.
  • En espera: indica que el switch ha procesado la solicitud EAP del teléfono, pero ha rechazado la autenticación EAP-FAST o EAP-TLS. El teléfono está reintentando enviar solicitudes EAP.

Protocolo

Ninguno

Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS.

Configurar las versiones compatibles de TLS

Puede configurar la versión mínima de TLS requerida para el cliente y el servidor respectivamente.

De forma predeterminada, la versión mínima TLS del servidor y del cliente es 1.2. La configuración tiene repercusiones en las siguientes funciones:

  • Conexión de acceso web HTTPS
  • Incorporación para teléfono local
  • Servicios HTTPS, como los servicios de directorio
  • Seguridad de la capa de transporte de datagramas (DTLS)
  • Entidad de Acceso Portuario (PAE)
  • Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS)

Para obtener más información sobre la compatibilidad TLS 1.3 para Cisco IP Phones, consulte TLS Matriz de compatibilidad 1.3 para productos de colaboración Cisco.

1

En Cisco Unified Communications Manager Administration, realice una de las siguientes acciones según sea necesario:

  • Para configurar todos los teléfonos implementados, vaya a Configuración de teléfono > sistema .
  • Para configurar teléfonos que compartan el mismo perfil de teléfono, vaya a Configuración > dispositivo > Perfil de teléfono común.
  • Para configurar un teléfono individual, vaya a Dispositivo > Teléfono. Luego busque su teléfono y abra la página Configuración del teléfono.

La configuración sigue una estructura jerárquica:

  • La configuración de cada dispositivo tiene prioridad sobre la configuración del perfil de teléfono común y del nivel de empresa
  • La configuración común del perfil de teléfono anula la configuración de nivel empresarial

2

Configure el campo TLS Versión mínima del cliente:

La opción TLS 1.3 está disponible en Cisco Unified CM 15SU2 o posterior.

  • TLS 1.1: El cliente TLS admite las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el servidor es inferior a 1.1, por ejemplo, 1.0, entonces no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): El cliente TLS admite TLS 1.2 y 1.3.

    Si la versión TLS en el servidor es inferior a 1.2, por ejemplo, 1.1 o 1.0, entonces no se puede establecer la conexión.

  • TLS 1.3: El cliente TLS solo admite TLS 1.3.

    Si la versión TLS en el servidor es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, entonces no se puede establecer la conexión.

3

Configure el campo TLS Versión mínima del servidor:

  • TLS 1.1: El servidor TLS soporta las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el cliente es inferior a 1.1, por ejemplo, 1.0, entonces no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): El servidor TLS admite TLS 1.2 y 1.3.

    Si la versión TLS en el cliente es inferior a 1.2, por ejemplo, 1.1 o 1.0, no se puede establecer la conexión.

  • TLS 1.3: El servidor TLS solo admite TLS 1.3.

    Si la versión TLS en el cliente es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, entonces no se puede establecer la conexión.

4

Haga clic en Guardar.

5

Haga clic en Aplicar configuración.

6

Reinicie los teléfonos.

TURN apagado altavoz y auriculares en Cisco Teléfono inalámbrico 9821

Tiene las opciones de TURN permanentemente el altavoz y los auriculares en un Cisco Wireless Phone 9821 para su usuario. La desactivación de estas salidas de audio garantiza que otras personas cercanas no escuchen las conversaciones, lo cual es importante en entornos de oficina compartidos o abiertos.

1

En Cisco Unified Communications Manager Administration, seleccione Dispositivo > Teléfono.

2

Localice el teléfono que va a configurar.

3

Desplácese hasta el área Diseño de configuración específica del producto.

4

Marque una o más de las siguientes casillas de verificación para TURN desactivar las capacidades del teléfono:

  • Desactivar teléfono con altavoz
  • Desactivar altavoz y auriculares

De forma predeterminada, estas casillas de verificación no están marcadas.

5

Seleccione Guardar.

6

Seleccione Aplicar configuración.

¿Ha encontrado este artículo útil?
¿Ha encontrado este artículo útil?