- Inicio
- /
- Artículo
Este artículo de Ayuda es para Cisco Wireless Phone 9821 registrado en Cisco Unified Communications Manager (Unified CM).
Puede habilitar Cisco Unified Communications Manager (Unified CM) para operar en un entorno de seguridad mejorado. Con estas mejoras, la red telefónica funciona bajo un conjunto de estrictos controles de seguridad y administración de riesgos para protegerlo a usted y a sus usuarios.
El entorno de seguridad mejorado incluye las siguientes funciones:
-
Autenticación de búsqueda de contactos
-
TCP como protocolo predeterminado para el registro de auditoría remoto
-
Una política de credenciales mejorada
-
Compatibilidad con la familia SHA-2 de hashes para firmas digitales
-
Soporte para un tamaño de clave RSA de hasta 4096 bits
Con Cisco Unified CM Release 14.0 o posterior, los teléfonos admiten la autenticación SIP OAuth.
OAuth es compatible con Proxy Trivial File Transfer Protocol (TFTP) con Cisco Unified CM versión 14.0 (1) SU1 o posterior.
Para obtener información adicional acerca de la seguridad, consulte las siguientes guías:
-
Guía de configuración del sistema para Cisco Unified Communications Manager, versión 15 y SU
-
Guía de seguridad para Cisco Unified Communications Manager, versión 15 y SU
El teléfono solamente puede almacenar un número limitado de archivos de lista de identidad de confianza (ITL). Los archivos ITL no pueden exceder los 64K en el teléfono, así que limite la cantidad de archivos que Cisco Unified CM envía al teléfono.
Funciones de seguridad compatibles
Las funciones de seguridad protegen contra amenazas, incluidas las amenazas para la identidad del teléfono y los datos. Estas funciones establecen y mantienen flujos de comunicación autenticados entre el teléfono y Cisco Unified Communications Manager server, y garantizan que el teléfono solo utilice los archivos firmados digitalmente.
Cisco Unified Communications Manager versión 8.5 (1) y posteriores incluye seguridad predeterminada, que proporciona las siguientes funciones de seguridad para teléfonos IP Cisco sin ejecutar el cliente de CTL:
-
Firma de los archivos de configuración del teléfono
-
Cifrado de archivos de configuración del teléfono
-
HTTPS con Tomcat y otros servicios Web
Las funciones de señalización y medios seguros aún requieren que ejecute el cliente de CTL y utilice hardware con eTokens.
Al implementar la seguridad en el sistema de Cisco Unified Communications Manager se evita el robo de identidad del teléfono y Cisco Unified Communications Manager server, la manipulación de datos y la manipulación de la señalización de llamadas y de flujos de medios.
Para mitigar estas amenazas, la red de telefonía IP de Cisco establece y mantiene flujos de comunicación seguros (cifrados) entre un teléfono y el servidor, firma digitalmente los archivos antes de transferirlos a un teléfono y cifra los flujos de medios y la señalización de llamadas entre teléfonos IP Cisco.
Un certificado significativo localmente (LSC) se instala en teléfonos luego de realizar las tareas necesarias relacionadas con la Certificate Authority Proxy Function (CAPF, Función de proxy de autoridad de certificación). Puede usar Cisco Unified Communications Manager Administration para configurar un LSC, como se describe en la Guía de seguridad Cisco Unified Communications Manager. Alternativamente, puede iniciar la instalación de un LSC desde el menú Seguridad en el teléfono. Este menú también le permite actualizar o eliminar un LSC.
Los teléfonos utilizan el perfil de seguridad, que define si el dispositivo es seguro o no. Para obtener información sobre cómo aplicar el perfil de seguridad en el teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.
Si configura ajustes relacionados con la seguridad en Administración de Cisco Unified Communications Manager, el archivo de configuración del teléfono contiene información confidencial. Para garantizar la privacidad de un archivo de configuración, debe configurarlo para el cifrado. Para obtener información detallada, consulte la documentación de su versión específica de Cisco Unified Communications Manager.
En la siguiente tabla, se proporciona una descripción general de las funciones de seguridad que los teléfonos admiten. Para obtener información adicional, consulte la documentación de su versión específica de Cisco Unified Communications Manager.
|
Función |
Descripción |
|---|---|
|
Autenticación de imagen |
Los archivos binarios firmados impiden que se manipule la imagen de firmware antes de que se cargue la imagen en el teléfono. Si manipula la imagen, el teléfono no podrá procesar la autenticación y rechazará la nueva imagen. |
|
Instalación del certificado en el sitio del cliente |
Cada Teléfono IP Cisco requiere un certificado único para la autenticación de dispositivo. Los teléfonos incluyen un certificado de fabricación instalado (MIC), pero para mayor seguridad, puede especificar la instalación de certificados En Administración de Cisco Unified Communications Manager mediante la Certificate Authority Proxy Function (CAPF, función de proxy de autoridad de certificación). Alternativamente, puede instalar un Locally Significant Certificate (LSC) desde el menú Seguridad en el teléfono. |
|
Device authentication (Autenticación de dispositivos) |
Ocurre entre el Cisco Unified Communications Manager server y el teléfono cuando cada entidad acepta el certificado de la otra entidad. Determina si debe producirse una conexión segura entre el teléfono y un Cisco Unified Communications Manager. y, si es necesario, crea una ruta de señalización segura entre las entidades mediante el protocolo TLS. Cisco Unified Communications Manager no registra teléfonos a menos que pueda autenticarlos. |
|
Autenticación de archivo |
Valida los archivos firmados digitalmente que el teléfono descarga. El teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional. |
|
Cifrado de archivo |
El cifrado impide que se revele información confidencial mientras el archivo se encuentra en tránsito al teléfono. Además, el teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional. |
|
Autenticación de señalización |
Utiliza el protocolo de TLS para validar que no se ha producido ninguna manipulación a un paquete de señalización durante la transmisión. |
|
Certificados instalados por el fabricante |
Cada Teléfono IP Cisco contiene un certificado de fabricación instalado (MIC), que se utiliza para la autenticación de dispositivo. El MIC proporciona una prueba de identidad única y permanente para el teléfono y permite que Cisco Unified Communications Manager autentique el teléfono. |
|
Cifrado de medios |
Utiliza SRTP para asegurarse de que los flujos de medios entre los dispositivos compatibles se prueben de manera segura y de que solo el dispositivo deseado reciba y lea los datos. Incluye la creación de un par de claves principales de medios para los dispositivos, la entrega de las claves a los dispositivos y la protección de la entrega de las teclas durante el transporte de las teclas. |
|
CAPF (Certificate Authority Proxy Function, Función de proxy de autoridad de certificación) |
Implementa partes del procedimiento de generación de certificados que son demasiado intensivas para el procesamiento para el teléfono e interactúa con el teléfono para la generación de teclas y la instalación de certificados. El CAPF se puede configurar para que solicite certificados de entidades emisoras de certificados especificadas por el cliente en nombre del teléfono, o se puede configurar para que genere certificados localmente. Se admiten los tipos de teclas EC (curva elíptica) y RSA. Para utilizar la clave EC, asegúrese de que el parámetro "Endpoint Advanced Encryption Algorithms Support" (del Enterprise) esté habilitado. Para obtener más información acerca de CAPF y configuraciones relacionadas, consulte los siguientes documentos: |
|
Perfil de seguridad |
Define si el teléfono es no seguro, autenticado, cifrado o protegido. Otras entradas de esta tabla describen las funciones de seguridad. |
|
Archivos de configuración cifrada |
Permite garantizar la privacidad de los archivos de configuración del teléfono. |
|
Desactivación de un servidor web opcional para un teléfono |
Por razones de seguridad, puede impedir el acceso a las páginas web de un teléfono (que muestran varias estadísticas operativas para el teléfono) y el Portal de atención automática. |
|
Mejora del teléfono |
Opciones de seguridad adicionales, que puede controlar desde Administración de Cisco Unified Communications Manager:
|
|
Conmutación por error de SIP segura para SRST |
Después de configurar una referencia de telefonía (SRST) de referencia de seguridad y restablecer los dispositivos dependientes En Administración de Cisco Unified Communications Manager, el servidor TFTP agrega el certificado de SRST al archivo de teléfono cnf. xml y envía el archivo al teléfono. A continuación, un teléfono seguro utiliza una conexión TLS para interactuar con el router habilitado para SRST. |
|
Cifrado de señalización |
Garantiza que se cifren todos los mensajes de señalización SIP que se envían entre el dispositivo y el Cisco Unified Communications Manager server. |
|
Alarma de actualizar la lista confiable |
Cuando la lista confiable se actualiza en el teléfono, el Cisco Unified Communications Manager recibe una alarma para indicar el éxito o fracaso de la actualización. Para obtener más información, consulte la siguiente tabla. |
|
Cifrado AES-256 |
Cuando se conecta a Cisco Unified Communications Manager versión 10.5 (2) y posteriores, los teléfonos son compatibles con AES 256 cifrado admitido para TLS y SIP para la señalización y el cifrado de medios. Esto permite que los teléfonos inicien y admitan conexiones TLS 1,2 utilizando cifrados basados en AES-256 que se ajustan a los estándares SHA-2 (algoritmo de Hash seguro) y cumplen los estándares federales de procesamiento de información (FIPS). Los cifrados incluyen lo siguiente:
Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager. |
|
Certificados de algoritmo de firma digital de curva elíptica (ECDSA) |
Como parte de la certificación de Criterios comunes (CC), Cisco Unified Communications Manager; se agregaron certificados ECDSA en la versión 11.0. Esto afecta a todos los productos de sistema operativo de voz (VOS) que ejecutan CUCM 11.5 y versiones posteriores. |
|
Certificado Tomcat multiservidor (SAN) con Cisco UCM | El teléfono admite Cisco UCM con certificados Tomcat multiservidor (SAN) configurados. La dirección correcta del servidor TFTP se puede encontrar en el archivo ITL del teléfono para el registro del teléfono. Para obtener más información acerca de la característica, consulte lo siguiente: |
La siguiente tabla contiene los mensajes de aviso de actualización de la lista confiable y su significado. Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager.
| Código y mensaje | Descripción |
|---|---|
|
1-TL_SUCCESS |
Se recibieron nuevos CTL o ITL |
|
2-CTL_INITIAL_SUCCESS |
Se recibieron nuevos CTL; no hay ningún TL existente |
|
3-ITL_INITIAL_SUCCESS |
Se recibieron nuevos ITL; no hay ningún TL existente |
|
4-TL_INITIAL_SUCCESS |
Se recibieron nuevos CTL; no hay ningún TL existente |
|
5-TL_FAILED_OLD_CTL |
Error en la actualización del CTL nuevo, pero tiene el TL anterior |
|
6-TL_FAILED_NO_TL |
Error en la actualización del TL nuevo y no tiene ningún TL anterior |
|
7-TL_FAILED |
Error genérico |
|
8-TL_FAILED_OLD_ITL |
Error en la actualización del ITL nuevo, pero tiene el TL anterior |
|
9-TL_FAILED_OLD_TL |
Error en la actualización del TL nuevo, pero tiene el TL anterior |
Seguridad de llamadas telefónicas
Cuando se implementa la seguridad para un teléfono, puede identificar llamadas telefónicas seguras por íconos en la pantalla del teléfono. También puede determinar si el teléfono conectado está seguro y protegido si se reproduce un tono de seguridad al inicio de la llamada.
En una llamada segura, todas las señales de llamadas y flujos de medios se cifran. Una llamada segura ofrece un alto nivel de seguridad, proporcionando integridad y privacidad a la llamada. Cuando una llamada en curso está cifrada, puede ver el icono de seguridad
En la línea.
-
Si la llamada se enruta a través de segmentos de llamada que no son IP, por ejemplo, PSTN, es posible que la llamada no sea segura, aunque esté cifrada en la red IP y tenga un ícono de candado asociado.
-
Solo se admiten llamadas seguras para conexiones entre dos teléfonos. Algunas funciones, como las llamadas de conferencia y las líneas compartidas, no están disponibles cuando se configura la llamada segura.
En Cisco Unified Communications Manager, a los teléfonos configurados como seguros (cifrados y de confianza) se les puede asignar un estado protegido. Una vez protegidos, estos dispositivos se pueden configurar para reproducir un tono de seguridad al comienzo de cada llamada.
-
Dispositivo protegido:
Para cambiar el estado de un teléfono seguro a protegido:
- En Cisco Unified Communications Manager Administration, seleccione .
- Localice el teléfono que va a configurar.
- En la ventana Configuración del teléfono, seleccione la casilla de verificación Dispositivo protegido.
- Haga clic en Guardar.
-
Reproducir tono de indicación seguro:
Para permitir que el teléfono protegido reproduzca un tono de indicación seguro o no seguro:
- En Cisco Unified Communications Manager Administration, seleccione servicio.
- Seleccione el servidor y, a continuación, el servicio Cisco CallManager .
- En el área Parámetros de todo el clúster (Función - Tono seguro), establezca la configuración Reproducir tono para indicar estado de llamada seguro/no seguro en Verdadero.
- Haga clic en Guardar.
Identificación segura de llamadas de conferencia
Puede iniciar una llamada de conferencia segura y supervisar el nivel de seguridad de los participantes. La llamada de conferencia segura se establece mediante este proceso:
-
El usuario inicia la conferencia desde un teléfono seguro.
-
Cisco Unified Communications Manager asigna un puente de conferencia seguro a la llamada.
-
A medida que se agregan participantes, Cisco Unified Communications Manager verifica el modo de seguridad de cada teléfono y mantiene el nivel seguro de la conferencia.
-
El teléfono muestra el nivel de seguridad de la llamada de conferencia. Una conferencia segura muestra el icono de seguridad
.
La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.
En la siguiente tabla, se proporciona información acerca de los cambios en los niveles de seguridad de conferencia según el nivel de seguridad del teléfono del iniciador, los niveles de seguridad de los participantes y la disponibilidad de puentes de conferencia seguros.
|
Nivel de seguridad del teléfono del iniciador |
Función utilizada |
Nivel de seguridad de los participantes |
Resultados de la acción |
|---|---|---|---|
|
No seguro |
Conferencia |
Seguro |
Puente de conferencia no seguro Conferencia no segura |
|
Seguro |
Conferencia |
Al menos un miembro no es seguro. |
Puente de conferencia seguro Conferencia no segura |
|
Seguro |
Conferencia |
Seguro |
Puente de conferencia seguro Conferencia de nivel de cifrado seguro |
|
No seguro |
Meet Me |
El nivel de seguridad mínimo está cifrado. |
El iniciador recibe el tono de reorden. |
|
Seguro |
Meet Me |
El nivel de seguridad mínimo no es seguro. |
Puente de conferencia seguro La conferencia acepta todas las llamadas. |
Identificación de llamadas de teléfono seguras
Se establece una llamada segura cuando el teléfono, y el teléfono del otro extremo está configurado para llamadas seguras. El otro teléfono puede estar en la misma red de Cisco IP o en una red fuera de la red IP. Solo se pueden realizar llamadas seguras entre dos teléfonos. Las llamadas de conferencia deben admitir la llamada segura después de configurar el puente de conferencia seguro.
Se establece una llamada segura mediante este proceso:
-
El usuario inicia la llamada desde un teléfono seguro (modo seguro asegurado).
-
El teléfono muestra el icono de seguridad
En la pantalla del teléfono. Este ícono indica que el teléfono está configurado para llamadas seguras, pero esto no quiere decir que el otro teléfono conectado también esté asegurado. -
El usuario escucha un tono de seguridad si la llamada se conecta a otro teléfono seguro, lo que indica que ambos extremos de la conversación están cifrados y son seguros. Si la llamada se conecta a un teléfono no seguro, el usuario no escucha el tono de seguridad.
La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.
Solo los teléfonos protegidos reproducen estos pitidos de indicación seguros o no seguros. Los teléfonos no protegidos nunca reproducen tonos. Si el estado general de la llamada cambia durante la llamada, el pitido de indicación cambia y el teléfono protegido reproduce el tono apropiado.
Cuando la opción Reproducir tono para indicar el estado de la llamada segura/no segura está configurada en Verdadero:
-
Cuando se establecen medios seguros de un extremo a otro y el estado de la llamada es seguro, el teléfono reproduce el pitido de indicación segura (tres pitidos largos con pausas).
-
Cuando se establece un medio no seguro de un extremo a otro y el estado de la llamada es no segura, el teléfono reproduce el pitido de indicación no segura (seis pitidos cortos con pausas breves).
Si la opción Reproducir tono para indicar el estado seguro o no seguro de la llamada está configurada en Falso, no se reproduce ningún tono.
Proporcionar cifrado para la intrusión
Cisco Unified Communications Manager verifica el estado de seguridad del teléfono cuando se establecen conferencias y cambia la indicación de seguridad para la conferencia o bloquea la finalización de la llamada para mantener la integridad y seguridad en el sistema.
Un usuario no puede irrumpir en una llamada cifrada si el teléfono que se utiliza para la intrusión no está configurado para el cifrado. Cuando la barcaza falla en este caso, se reproduce un tono de reordenación (ocupado rápido) en el teléfono que indica que se inició la barcaza.
Si el teléfono iniciador está configurado para el cifrado, el iniciador de la intrusión puede irrumpir en una llamada no segura desde el teléfono cifrado. Después de que se produce la intrusión, Cisco Unified Communications Manager clasifica la llamada como no segura.
Si el teléfono iniciador está configurado para el cifrado, el iniciador de la barcaza puede irrumpir en una llamada cifrada y el teléfono indica que la llamada está cifrada.
Seguridad de LAN inalámbrica
Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura Cisco SAFE Security es compatible con el teléfono. Para obtener más información acerca de la seguridad en redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
La solución de telefonía Cisco Wireless IP proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono.
-
Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.
-
Protocolo de autenticación extensible: autenticación flexible mediante tunelización segura (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).
El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.
En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.
-
Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbrico, el certificado de cliente puede ser MIC, LSC, o certificado instalado por el usuario.
-
protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede usar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.
-
Clave precompartida (PSK): El teléfono admite los formatos ASCII y hexadecimal (HEX). Debe utilizar estos formatos al configurar una clave precompartida WPA2/SAE.
ASCII: Una cadena de caracteres ASCII con 8 a 63 caracteres de longitud (0-9, minúsculas a-z, mayúsculas A-Z y caracteres especiales). Por ejemplo,
GREG123567@9ZX&W.HEX: una cadena de caracteres hexadecimales con 64 dígitos hexadecimales de longitud (0-9, a-f o A-F).
Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:
-
WPA2/WPA3: utiliza información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.
-
Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura.
Con WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.
Para ayudar a proteger el tráfico de voz a través del enlace inalámbrico, el teléfono admite el cifrado basado en AES para la autenticación WPA2/WPA3. AES es un cifrado de bloques simétrico estandarizado por NIST. AES utiliza un tamaño de bloque fijo de 128 bits y admite tamaños de clave de 128 bits, 192 bits y 256 bits. En redes Wi-Fi, AES es utilizado por conjuntos de cifrado como CCMP o GCMP, mientras que la autenticación es proporcionada por separado por PSK, SAE o 802.1X / EAP, dependiendo del modo de seguridad WLAN configurado. El conjunto de cifrado y el tamaño de clave admitidos dependen del modelo de teléfono y la configuración WLAN.
Cuando el teléfono utiliza el cifrado AES, tanto los paquetes SIP de señalización como los paquetes del Protocolo de transporte en tiempo real de voz (RTP) se cifran entre el AP y el teléfono.
Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.
Algunos esquemas de autenticación requieren tipos específicos de cifrado.
Cuando utiliza la clave precompartida WPA2 o SAE, la clave previamente compartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.
Los esquemas de autenticación y cifrado en la siguiente tabla muestran las opciones de configuración de red para Cisco Wireless Phone 9821 que corresponde a la configuración de AP.
| FSR Tipo | Autenticación | Administración de teclas | Encriptación | Marco de administración protegido (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | No |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Sí |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | No |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Sí |
| No FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Sí |
| No FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Sí |
Configurar un perfil Wi-Fi
Puede configurar un perfil Wi-Fi y asignarlo al Cisco Wireless Phone 9821. Este perfil contiene los parámetros necesarios para que el teléfono establezca una conexión Wi-Fi y posteriormente se registre con Cisco Unified CM. Cuando crea y utiliza un perfil Wi-Fi, usted o sus usuarios no necesitan configurar la red inalámbrica para teléfonos individuales.
Se recomienda utilizar un perfil seguro con cifrado TFTP activado para proteger las claves y contraseñas cuando utiliza un perfil de Wi-Fi.
Los teléfonos admiten un certificado de servidor por método de instalación (manual, SCEP o TFTP).
Antes de configurar el perfil de WLAN, tenga en cuenta las siguientes notas:
-
Nombre de usuario y contraseña
-
Cuando la red utiliza EAP-FAST y PEAP para la autenticación de usuario, debe configurar el nombre de usuario y la contraseña si es necesario en el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) y en el teléfono.
- Las credenciales que introduzca en el perfil LAN inalámbrica deben ser idénticas a las credenciales que configuró en el servidor RADIUS.
-
Si usa dominios dentro de su red, debe introducir el nombre de usuario con el nombre de dominio, en el formato:
dominio o nombre de usuario.
-
-
Las siguientes acciones pueden hacer que se borre la contraseña de Wi-Fi existente:
- Introducir un ID de usuario o contraseña no válidos
- Instalar una CA raíz no válida o caducada cuando el tipo de EAP está configurado como PEAP-MSCHAPV2 o PEAP-GTC
- Desactivar el tipo de EAP en uso en el servidor RADIUS antes de cambiar el teléfono al nuevo tipo de EAP
- Para cambiar el tipo de EAP, asegúrese de activar primero el tipo de EAP nuevo en el servidor RADIUS y luego cambie el teléfono al tipo de EAP. Cuando todos los teléfonos se han cambiado a un tipo de EAP nuevo, puede deshabilitar el tipo de EAP anterior si lo desea.
| 1 |
En Administración de Cisco Unified Communications Manager, seleccione (Perfil LAN inalámbrico). |
| 2 |
Haga clic en Add New (Agregar nuevo). |
| 3 |
En la sección Wireless LAN Profile Information (Información del perfil de LAN inalámbrica), defina los parámetros:
|
| 4 |
En la sección Configuración inalámbrica, establezca los parámetros:
|
| 5 |
En la sección Configuración de autenticaciones, establezca el Método de autenticación en uno de estos métodos de autenticación: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK y Ninguno. Cisco Wireless Phone 9821 no es compatible con WEP. Después de establecer este campo, es posible que vea campos adicionales que necesita establecer.
Cisco Wireless Phone 9821 no admite el campo Perfil de acceso a la red. |
| 6 |
Haga clic en Guardar. |
Qué hacer a continuación
Enlace el perfil de LAN inalámbrica a un grupo de perfiles WLAN y, a continuación, aplique el grupo de perfiles WLAN a un grupo de dispositivos (teléfono
Instalar un certificado de usuario desde la página web de administración del teléfono
Puede instalar manualmente un certificado de usuario en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.
El certificado instalado en fabricación (MIC) preinstalado se puede utilizar como certificado de usuario para EAP-TLS.
Después de instalar el certificado de usuario, debe agregar la cadena de CA que emitió el certificado de usuario a la lista de confianza del servidor RADIUS.
Antes de comenzar
Para poder instalar un certificado de usuario para un teléfono, debe tener:
-
Certificado de usuario guardado en su PC. El certificado debe tener formato PKCS #12.
-
La contraseña de extracción del certificado. La longitud de la contraseña no debe superar los 32 caracteres.
| 1 |
En la página web de administración del teléfono, seleccione Certificates (Certificados). |
| 2 |
Busque el campo User installed (Usuario instalado) y haga clic en Install (Instalar). |
| 3 |
Busque el certificado en la PC. |
| 4 |
En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado. |
| 5 |
Haga clic en Upload (Cargar). |
| 6 |
Reinicie el teléfono después de haber terminado la carga. |
Instalar una CA del servidor de autenticación desde la página web de administración del teléfono
Puede instalar manualmente una CA del servidor de autenticación en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.
El certificado de CA raíz que emitió el certificado de servidor RADIUS debe estar instalado.
Antes de comenzar
Para poder instalar un certificado en un teléfono, debe tener una CA de servidor de autenticación guardada en su PC. El certificado debe estar codificado en PEM (base-64) o DER.
| 1 |
En la página web de administración del teléfono, seleccione Certificates (Certificados). |
| 2 |
Busque el campo Authentication server CA (CA del servidor de autenticación) y haga clic en Install (Instalar). |
| 3 |
Busque el certificado en la PC. |
| 4 |
Haga clic en Upload (Cargar). |
| 5 |
Reinicie el teléfono después de haber terminado la carga. |
Eliminar manualmente un certificado de seguridad de la página web de administración del teléfono
Puede quitar manualmente un certificado de seguridad de un teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.
| 1 |
En la página web de administración del teléfono, seleccione Certificates (Certificados). |
| 2 |
Busque el certificado en la página Certificados. |
| 3 |
Haga clic en Delete (Eliminar). |
| 4 |
Reinicie el teléfono después de que finalice el proceso de eliminación. |
Configurar SCEP
El protocolo simple de inscripción de certificados (SCEP) es el estándar para aprovisionar y renovar automáticamente los certificados. Evita la instalación manual de certificados en sus teléfonos.
Activar los parámetros de configuración específicos del producto SCEP
Debe configurar los siguientes parámetros SCEP en Cisco Unified Communications Manager (Unified CM).
-
Dirección IP RA o nombre de host
-
Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP
La autoridad de registro de Cisco IOS (RA) sirve como proxy para el servidor SCEP. El cliente SCEP en el teléfono utiliza los parámetros que se descargan de Cisco Unified CM. Después de configurar los parámetros, el teléfono envía una solicitud SCEP getcs al RA y el certificado de CA raíz se valida utilizando la huella digital definida.
| 1 |
Desde Cisco Unified Communications Manager Administration, seleccione . |
| 2 |
Busque el teléfono. |
| 3 |
Desplácese hasta el área Configuración específica del producto. |
| 4 |
Seleccione la casilla de verificación WLAN servidor SCEP para activar el parámetro SCEP. |
| 5 |
Seleccione la casilla WLAN Huella digital de CA raíz (SHA256 o SHA1) para activar el parámetro SCEP QED. |
Compatibilidad con servidores SCEP
Si utiliza un servidor de Protocolo simple de inscripción de certificados (SCEP), el servidor puede mantener automáticamente los certificados de usuario y servidor. En el servidor SCEP, configure el agente de registro SCEP (RA) para:
-
Actuar como punto de confianza de PKI
-
Actuar como una RA de la PKI
-
Realice la autenticación de dispositivo con un servidor RADIUS
Para obtener más información, consulte la documentación de servidor SCEP.
Configurar certificado significativo localmente (LSC)
Hay algunos métodos para instalar un LSC. Esta tarea de ejemplo se aplica a la configuración de un LSC con el método de cadena de autenticación en Cisco Wireless Phone 9821.
Antes de comenzar
Asegúrese de que las configuraciones de seguridad Cisco Unified CM y certificate authority proxy function (CAPF) adecuadas estén completas.
-
El archivo CTL o ITL tiene un certificado CAPF.
-
En la Administración del sistema operativo de Cisco Unified Communications, verifique que el certificado CAPF esté instalado.
-
El CAPF está en ejecución y configurado.
Para obtener más información acerca de estas configuraciones, consulte la documentación de su versión Cisco Unified CM particular.
| 1 |
Obtenga la cadena de autenticación CAPF que se estableció cuando se configuró el CAPF. |
| 2 |
En el teléfono, acceda a Configuración |
| 3 |
Seleccione . |
| 4 |
Introduzca la cadena de autenticación. |
| 5 |
Prensa más El teléfono comienza a instalar, actualizar o eliminar el LSC, según la configuración del CAPF. Cuando se completa el procedimiento, se muestra Instalado o No instalado en el teléfono. El proceso de instalación, actualización o eliminación de LSC puede tardar bastante tiempo en completarse. Cuando el procedimiento de instalación del teléfono se realiza correctamente, aparece el mensaje |
Autenticación 802.1X para redes cableadas
Cisco Wireless Phone 9821 admite autenticación 802.1X para redes cableadas. Por lo general, se utiliza durante el aprovisionamiento automático cuando el teléfono está conectado al cargador de escritorio a través de un adaptador USB a Ethernet compatible.
La compatibilidad con la autenticación 802.1X en redes cableadas requiere varios componentes de la siguiente manera:
-
Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.
-
Servidor de autenticación: tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido RADIUS.
-
Switch: El switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes EAP entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.
Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea.
Para configurar 802.1X, debe realizar las siguientes acciones.
-
Configure la omisión CDP/LLDP VLAN voz.
-
Configure el servidor de autenticación y el conmutador antes de habilitar la autenticación 802.1X para redes cableadas en el teléfono.
-
Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
- Habilitado: Si está utilizando un switch que admite autenticación multidominio, puede configurarlo para usar el VLAN de voz.
- Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
-
Cisco Wireless Phone 9821 tiene un prefijo diferente en el PID del de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir su Cisco Wireless Phone 9821.
Por ejemplo, el PID del Cisco Wireless Phone 9821 es WP-9821. Puede establecer Radius· Nombre de usuario para
comenzar con WPoContiene WPen las dos secciones siguientes: -
Habilitar la autenticación 802.1X para redes cableadas en el teléfono
Siga estos pasos para habilitar la autenticación 802.1X para redes cableadas en su teléfono. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.
| 1 |
Acceda a la configuración |
| 2 |
Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador. |
| 3 |
Seleccione . |
| 4 |
Resalte Autenticación de dispositivo y pulse Activado. |
Habilite la autenticación 802.1X para redes cableadas en Cisco Unified Communications Manager Administration
Siga estos pasos para habilitar la autenticación 802.1X para redes cableadas en Cisco Unified CM. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.
Puede ver el estado de la transacción y la configuración de seguridad en el menú de la pantalla del teléfono. Para obtener más información, consulte Menú Configuración de seguridad en el teléfono.
| 1 |
En Cisco Unified Communications Manager Administration, seleccione Dispositivo > Teléfono. |
| 2 |
Localice el teléfono que va a configurar. |
| 3 |
Desplácese hasta el área Diseño de configuración específica del producto. |
| 4 |
Seleccione Habilitado en el menú desplegable Autenticación 802.1x. Cuando se configura como Habilitado o Deshabilitado, la opción de autenticación de dispositivo en Cisco Wireless Phone 9821 se convierte en de solo lectura, lo que impide que los usuarios modifiquen la configuración de autenticación 802.1X. |
| 5 |
Seleccione Guardar. |
| 6 |
Seleccione Aplicar configuración. |
Menú Configuración de seguridad en el teléfono
Para ver la información sobre la configuración de seguridad desde el menú telefónico, acceda a Configuración
y seleccione 802.1X. La disponibilidad de la información depende de la configuración de red de la organización.
|
Parámetros |
Opciones |
Predeterminado |
Descripción |
|---|---|---|---|
|
Device authentication (Autenticación de dispositivos) |
Activado Desactivada |
Desactivada |
Activa o deshabilita la autenticación 802.1X en el teléfono. La configuración de parámetros se puede mantener después del registro listo para usar (OOB) del teléfono. |
|
Estado de la transacción | Deshabilitado |
Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a):
| |
|
Protocolo | Ninguno |
Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS. |
Configurar las versiones compatibles de TLS
Puede configurar la versión mínima de TLS requerida para el cliente y el servidor respectivamente.
De forma predeterminada, la versión mínima TLS del servidor y del cliente es 1.2. La configuración tiene repercusiones en las siguientes funciones:
- Conexión de acceso web HTTPS
- Incorporación para teléfono local
- Servicios HTTPS, como los servicios de directorio
- Seguridad de la capa de transporte de datagramas (DTLS)
- Entidad de Acceso Portuario (PAE)
- Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS)
Para obtener más información sobre la compatibilidad TLS 1.3 para Cisco IP Phones, consulte TLS Matriz de compatibilidad 1.3 para productos de colaboración Cisco.
| 1 |
En Cisco Unified Communications Manager Administration, realice una de las siguientes acciones según sea necesario:
La configuración sigue una estructura jerárquica:
|
| 2 |
Configure el campo TLS Versión mínima del cliente: La opción TLS 1.3 está disponible en Cisco Unified CM 15SU2 o posterior.
|
| 3 |
Configure el campo TLS Versión mínima del servidor:
|
| 4 |
Haga clic en Guardar. |
| 5 |
Haga clic en Aplicar configuración. |
| 6 |
Reinicie los teléfonos. |
TURN apagado altavoz y auriculares en Cisco Teléfono inalámbrico 9821
Tiene las opciones de TURN permanentemente el altavoz y los auriculares en un Cisco Wireless Phone 9821 para su usuario. La desactivación de estas salidas de audio garantiza que otras personas cercanas no escuchen las conversaciones, lo cual es importante en entornos de oficina compartidos o abiertos.
| 1 |
En Cisco Unified Communications Manager Administration, seleccione . |
| 2 |
Localice el teléfono que va a configurar. |
| 3 |
Desplácese hasta el área Diseño de configuración específica del producto. |
| 4 |
Marque una o más de las siguientes casillas de verificación para TURN desactivar las capacidades del teléfono:
De forma predeterminada, estas casillas de verificación no están marcadas. |
| 5 |
Seleccione Guardar. |
| 6 |
Seleccione Aplicar configuración. |
