Puede activar Cisco Unified Communications Manager para que funcione en un entorno de seguridad mejorado. Con estas mejoras, la red telefónica funciona bajo un conjunto de estrictos controles de seguridad y administración de riesgos para protegerlo a usted y a sus usuarios.

El entorno de seguridad mejorado incluye las siguientes funciones:

  • Autenticación de la búsqueda de contactos.

  • TCP como protocolo predeterminado para el registro remoto de auditorías.

  • Modo FIPS.

  • Una política de credenciales mejorada.

  • Compatibilidad con la familia de hash SHA-2 para firmas digitales.

  • Compatibilidad con un tamaño de clave RSA de 512 bits y 4096 bits.

Con Cisco Unified Communications Manager versión 14.0 y Cisco Video Phone Firmware versión 2.1 y posteriores, los teléfonos admiten la autenticación SIP OAuth.

OAuth es compatible con el Protocolo trivial de transferencia de archivos (TFTP) de proxy con Cisco Unified Communications Manager versión 14.0(1)SU1 o posterior. Proxy TFTP y OAuth para TFTP de proxy no son compatibles con Mobile Remote Access (MRA).

Para obtener más información sobre seguridad, consulte la siguiente documentación:

El teléfono solamente puede almacenar un número limitado de archivos de lista de identidad de confianza (ITL). Los archivos ITL no pueden superar los 64K en el teléfono, así que limite la cantidad de archivos que Cisco Unified Communications Manager envía al teléfono.

Funciones de seguridad compatibles

Las funciones de seguridad protegen contra amenazas, incluidas las amenazas para la identidad del teléfono y los datos. Estas funciones establecen y mantienen flujos de comunicación autenticados entre el teléfono y Cisco Unified Communications Manager server, y garantizan que el teléfono solo utilice los archivos firmados digitalmente.

Cisco Unified Communications Manager versión 8.5 (1) y posteriores incluye seguridad predeterminada, que proporciona las siguientes funciones de seguridad para teléfonos IP Cisco sin ejecutar el cliente de CTL:

  • Firma de los archivos de configuración del teléfono

  • Cifrado de archivos de configuración del teléfono

  • HTTPS con Tomcat y otros servicios Web

Las funciones de señalización y medios seguros aún requieren que ejecute el cliente de CTL y utilice hardware con eTokens.

Al implementar la seguridad en el sistema de Cisco Unified Communications Manager se evita el robo de identidad del teléfono y Cisco Unified Communications Manager server, la manipulación de datos y la manipulación de la señalización de llamadas y de flujos de medios.

Para mitigar estas amenazas, la red de telefonía IP de Cisco establece y mantiene flujos de comunicación seguros (cifrados) entre un teléfono y el servidor, firma digitalmente los archivos antes de transferirlos a un teléfono y cifra los flujos de medios y la señalización de llamadas entre teléfonos IP Cisco.

Un certificado significativo localmente (LSC) se instala en teléfonos luego de realizar las tareas necesarias relacionadas con la Certificate Authority Proxy Function (CAPF, Función de proxy de autoridad de certificación). Puede utilizar la Administración de Cisco Unified Communications Manager para configurar un LSC, como se describe en la guía de seguridad de Cisco Unified Communications Manager. Como alternativa, puede iniciar la instalación de un LSC desde el menú Configuración de seguridad del teléfono. Este menú también le permite actualizar o eliminar un LSC.

No se puede usar un LSC como certificado de usuario para EAP-TLS con autenticación de WLAN.

Los teléfonos utilizan el perfil de seguridad, que define si el dispositivo es seguro o no. Para obtener información sobre cómo aplicar el perfil de seguridad en el teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Si configura ajustes relacionados con la seguridad en Administración de Cisco Unified Communications Manager, el archivo de configuración del teléfono contiene información confidencial. Para garantizar la privacidad de un archivo de configuración, debe configurarlo para el cifrado. Para obtener información detallada, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

El teléfono cumple con el Estándar Federal de Procesamiento de Información (FIPS). Para que funcione correctamente, el modo FIPS requiere un tamaño de clave de 2048 bits o superior. Si el certificado es inferior a 2048 bits, el teléfono no se registrará en Cisco Unified Communications Manager y se mostrará Error al registrar el teléfono. Si el tamaño de la clave del certificado no cumple con FIPS, aparece en el teléfono.

Si el teléfono tiene un LSC, debe actualizar el tamaño de la clave LSC a 2048 bits o más, antes de habilitar FIPS.

En la siguiente tabla, se proporciona una descripción general de las funciones de seguridad que los teléfonos admiten. Para obtener información adicional, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Para ver el modo Seguridad, pulse Configuración la Tecla de configuración Y vaya a Configuración de red y servicio >Seguridad.

Tabla 1. Descripción general de las funciones de seguridad

Función

Descripción

Autenticación de imagen

Los archivos binarios firmados impiden que se manipule la imagen de firmware antes de que se cargue la imagen en el teléfono.

Si manipula la imagen, el teléfono no podrá procesar la autenticación y rechazará la nueva imagen.

Instalación del certificado en el sitio del cliente

Cada Teléfono IP Cisco requiere un certificado único para la autenticación de dispositivo. Los teléfonos incluyen un certificado de fabricación instalado (MIC), pero para mayor seguridad, puede especificar la instalación de certificados En Administración de Cisco Unified Communications Manager mediante la Certificate Authority Proxy Function (CAPF, función de proxy de autoridad de certificación). Como alternativa, puede instalar un Certificados significativo localmente (LSC)) desde el menú de configuración de seguridad del teléfono.

Device authentication (Autenticación de dispositivos)

Ocurre entre el Cisco Unified Communications Manager server y el teléfono cuando cada entidad acepta el certificado de la otra entidad. Determina si debe producirse una conexión segura entre el teléfono y un Cisco Unified Communications Manager. y, si es necesario, crea una ruta de señalización segura entre las entidades mediante el protocolo TLS. Cisco Unified Communications Manager no registra teléfonos a menos que pueda autenticarlos.

Autenticación de archivo

Valida los archivos firmados digitalmente que el teléfono descarga. El teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional.

Cifrado de archivo

El cifrado impide que se revele información confidencial mientras el archivo se encuentra en tránsito al teléfono. Además, el teléfono valida la firma para asegurarse de que la manipulación de archivos no se ha producido después de crear el archivo. Los archivos con errores de autenticación no se graban en memoria Flash en el teléfono. El teléfono rechaza los archivos sin procesamiento adicional.

Autenticación de señalización

Utiliza el protocolo de TLS para validar que no se ha producido ninguna manipulación a un paquete de señalización durante la transmisión.

Certificados instalados por el fabricante

Cada Teléfono IP Cisco contiene un certificado de fabricación instalado (MIC), que se utiliza para la autenticación de dispositivo. El MIC proporciona una prueba de identidad única y permanente para el teléfono y permite que Cisco Unified Communications Manager autentique el teléfono.

Cifrado de medios

Utiliza SRTP para asegurarse de que los flujos de medios entre los dispositivos compatibles se prueben de manera segura y de que solo el dispositivo deseado reciba y lea los datos. Incluye la creación de un par de claves principales de medios para los dispositivos, la entrega de las claves a los dispositivos y la protección de la entrega de las teclas durante el transporte de las teclas.

CAPF (Certificate Authority Proxy Function, Función de proxy de autoridad de certificación)

Implementa partes del procedimiento de generación de certificados que son demasiado intensivas para el procesamiento para el teléfono e interactúa con el teléfono para la generación de teclas y la instalación de certificados. El CAPF se puede configurar para que solicite certificados de entidades emisoras de certificados especificadas por el cliente en nombre del teléfono, o se puede configurar para que genere certificados localmente.

Se admiten los tipos de teclas EC (curva elíptica) y RSA. Para utilizar la clave EC, asegúrese de que el parámetro "Endpoint Advanced Encryption Algorithms Support" (del parámetro System >Enterprise) esté habilitado.

Para obtener más información acerca de CAPF y configuraciones relacionadas, consulte los siguientes documentos:

Perfil de seguridad

Define si el teléfono es no seguro, autenticado, cifrado o protegido. Otras entradas de esta tabla describen las funciones de seguridad.

Archivos de configuración cifrada

Permite garantizar la privacidad de los archivos de configuración del teléfono.

Desactivación de un servidor web opcional para un teléfono

Por razones de seguridad, puede impedir el acceso a las páginas web de un teléfono (que muestran varias estadísticas operativas para el teléfono) y el Portal de atención automática.

Mejora del teléfono

Opciones de seguridad adicionales, que puede controlar desde Administración de Cisco Unified Communications Manager:

  • Desactivar el puerto PC
  • Desactivar ARP gratuito (GARP)
  • Desactivar el acceso a la VLAN de voz de PC
  • Desactivar el acceso al menú Setting (Configuración) o proporcionar acceso restringido
  • Desactivar el acceso a las páginas web para un teléfono
  • Desactivar el puerto de accesorio Bluetooth
  • Restricción de cifrado de TLS

Autenticación 802.1X

El Teléfono IP Cisco puede utilizar la autenticación 802.1x para solicitar acceso a la red y acceder a ella. Consulte Autenticación 802.1X para obtener más información.

Conmutación por error de SIP segura para SRST

Después de configurar una referencia de telefonía (SRST) de referencia de seguridad y restablecer los dispositivos dependientes En Administración de Cisco Unified Communications Manager, el servidor TFTP agrega el certificado de SRST al archivo de teléfono cnf. xml y envía el archivo al teléfono. A continuación, un teléfono seguro utiliza una conexión TLS para interactuar con el router habilitado para SRST.

Cifrado de señalización

Garantiza que se cifren todos los mensajes de señalización SIP que se envían entre el dispositivo y el Cisco Unified Communications Manager server.

Alarma de actualizar la lista confiable

Cuando la lista confiable se actualiza en el teléfono, el Cisco Unified Communications Manager recibe una alarma para indicar el éxito o fracaso de la actualización. Para obtener más información, consulte la siguiente tabla.

Cifrado AES-256

Cuando se conecta a Cisco Unified Communications Manager versión 10.5 (2) y posteriores, los teléfonos son compatibles con AES 256 cifrado admitido para TLS y SIP para la señalización y el cifrado de medios. Esto permite que los teléfonos inicien y admitan conexiones TLS 1,2 utilizando cifrados basados en AES-256 que se ajustan a los estándares SHA-2 (algoritmo de Hash seguro) y cumplen los estándares federales de procesamiento de información (FIPS). Los cifrados incluyen lo siguiente:

  • Para conexión TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Para sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager.

Certificados de algoritmo de firma digital de curva elíptica (ECDSA)

Como parte de la certificación de Criterios comunes (CC), Cisco Unified Communications Manager; se agregaron certificados ECDSA en la versión 11.0. Esto afecta a todos los productos de sistema operativo de voz (VOS) que ejecutan CUCM 11.5 y versiones posteriores.

Certificado Tomcat multiservidor (SAN) con Cisco UCM

El teléfono admite Cisco UCM con certificados Tomcat multiservidor (SAN) configurados. La dirección correcta del servidor TFTP se puede encontrar en el archivo ITL del teléfono para el registro del teléfono.

Para obtener más información acerca de la característica, consulte lo siguiente:

La siguiente tabla contiene los mensajes de aviso de actualización de la lista confiable y su significado. Para obtener más información, consulte la documentación sobre Cisco Unified Communications Manager.

Tabla 2. Mensajes de aviso de actualización de la lista confiable
Código y mensaje Descripción

1-TL_SUCCESS

Se recibieron nuevos CTL o ITL

2-CTL_INITIAL_SUCCESS

Se recibieron nuevos CTL; no hay ningún TL existente

3-ITL_INITIAL_SUCCESS

Se recibieron nuevos ITL; no hay ningún TL existente

4-TL_INITIAL_SUCCESS

Se recibieron nuevos CTL; no hay ningún TL existente

5-TL_FAILED_OLD_CTL

Error en la actualización del CTL nuevo, pero tiene el TL anterior

6-TL_FAILED_NO_TL

Error en la actualización del TL nuevo y no tiene ningún TL anterior

7-TL_FAILED

Error genérico

8-TL_FAILED_OLD_ITL

Error en la actualización del ITL nuevo, pero tiene el TL anterior

9-TL_FAILED_OLD_TL

Error en la actualización del TL nuevo, pero tiene el TL anterior

El menú Security Setup (Configuración de seguridad) proporciona información sobre varias configuraciones de seguridad. El menú también brinda acceso al menú de listas de confianza e indica si el archivo CTL o ITL está instalado en el teléfono.

En la siguiente tabla, se describen las opciones del menú Security Setup (Configuración de seguridad).

Tabla 3. Menú de configuración de seguridad

Opción

Descripción

Para cambiar

Modo de seguridad

Muestra el modo de seguridad configurado para el teléfono.

En Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Phone (Teléfono). La configuración aparece en la sección Protocol Specific Information (Información específica del protocolo) de la ventana Phone Configuration (Configuración del teléfono).

LSC

Indica si un certificado de importancia local que se usa para las funciones de seguridad está instalado en el teléfono (Instalado) o no está instalado en el teléfono (No instalado).

Para obtener información sobre cómo administrar el LSC del teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Configurar certificado significativo localmente (LSC)

Esta tarea se aplica a la configuración de un LSC con el método de cadena de autenticación.

Antes de comenzar

Asegúrese de que se hayan completado las configuraciones de seguridad de Cisco Unified Communications Manager y de la Certificate Authority Proxy Function (CAPF, Función de proxy de autoridad de certificación):

  • El archivo CTL o ITL tiene un certificado CAPF.

  • En la Administración del sistema operativo de Cisco Unified Communications, verifique que el certificado CAPF esté instalado.

  • El CAPF está en ejecución y configurado.

Para obtener más información sobre esta configuración, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

1

Obtenga el código de autenticación de CAPF que se estableció cuando se configuró el CAPF.

2

En el teléfono, presione Configuración the Settings hard key.

3

Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.

4

Vaya a Configuración >seguridad de redes y servicios > LSC .

Puede controlar el acceso al menú Settings (Configuración) mediante el campo Settings Access (Acceso a la configuración) En Administración de Cisco Unified Communications Manager.

5

Introduzca la cadena de autenticación y seleccione Enviar.

El teléfono comienza a instalar, actualizar o eliminar el LSC, según la configuración del CAPF. Cuando se completa el procedimiento, se muestra Instalado o No instalado en el teléfono.

El proceso de instalación, actualización o eliminación de LSC puede tardar bastante tiempo en completarse.

Cuando el procedimiento de instalación del teléfono se realiza correctamente, aparece el mensaje Instalado. Si en el teléfono aparece No instalado, es posible que la cadena de autorización sea incorrecta o que la actualización del teléfono no esté activada. Si la operación de CAPF elimina el LSC, el teléfono muestra No instalado para indicar que la operación se realizó correctamente. El servidor CAPF registra los mensajes de error. Consulte la documentación del servidor CAPF para localizar los registros y comprender el significado de los mensajes de error.

Activar el modo FIPS

1

En Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Phone (Teléfono) y localice el teléfono.

2

Navegue hasta el área Product Specific Configuration (Configuración específica de producto).

3

Configure el campo FIPS mode (modo FIPS) como Enabled (Activado).

4

Seleccione Guardar.

5

Seleccione Aplicar configuración.

6

Reinicie el teléfono.

Apagar el altavoz, los auriculares y el auricular de un teléfono

Tiene las opciones para apagar permanentemente el altavoz, los auriculares y el auricular de un teléfono para el usuario.

1

En Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Phone (Teléfono) y localice el teléfono.

2

Navegue hasta el área Product Specific Configuration (Configuración específica de producto).

3

Marque una o más de las siguientes casillas de verificación para desactivar las capacidades del teléfono:

  • Desactivar teléfono con altavoz
  • Inhabilitar Altavoz y Auriculares
  • Inhabilitar equipo de mano

De forma predeterminada, estas casillas de verificación no están marcadas.

4

Seleccione Guardar.

5

Seleccione Aplicar configuración.

Autenticación 802.1X

La Teléfonos IP Cisco admiten la autenticación 802.1X.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia de EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.

Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la computadora conectada localmente se desconecta del teléfono IP, el switch de LAN no percibe la falla en el enlace físico, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar poner en peligro la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la computadora de transmisión de datos a usuarios, que activa el switch de LAN para borrar la entrada de autenticación para esta computadora.

La compatibilidad con la autenticación 802.1X requiere varios componentes:

  • Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.

  • Servidor de autenticación: Tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido que autentique el teléfono.

  • Switch: el switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Para configurar 802.1X, debe realizar las siguientes acciones.

  • Configure el resto de los componentes antes de activar la autenticación 802.1X en el teléfono.

  • Configure el puerto PC: el estándar 802.1X no tiene en consideración las VLAN y, por lo tanto, recomienda que solo se autentique un único dispositivo en un puerto de conmutación específico. Sin embargo, algunos switches admiten la autenticación de múltiples dominios. La configuración del switch determina si puede conectar una computadora al puerto de PC del teléfono.

    • Activado: si está usando un switch que admite la autenticación de múltiples dominios, puede activar el puerto PC y conectar una PC a él. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.

      Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración de switches Cisco Catalyst en:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desactivado: si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe desactivar el puerto PC cuando la autenticación 802.1X está activada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch le denegará el acceso a la red tanto al teléfono como a la PC.

  • Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
    • Activada: si utiliza un switch que admite la autenticación de múltiples dominios, puede utilizar la VLAN de voz.
    • Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
  • (Sólo para Cisco Desk Phone serie 9800)

    Cisco Desk Phone 9800 Series tiene un prefijo diferente en el PID que para los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir el Cisco Desk Phone serie 9800.

    Por ejemplo, el PID del teléfono 9841 es DP-9841; puedes establecer Radius· Nombre de usuario para empezar por DP o Contiene DP. Puede configurarlo en las dos secciones siguientes:

    • Política > Condiciones > Condiciones de la biblioteca

    • Conjuntos > directivas > Política de autorización> Regla de autorización 1

Activar la autenticación 802.1X

Puede activar la autenticación 802.1X para el teléfono mediante estos pasos:

1

Presione Settings (Ajustes).the Settings hard key.

2

Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.

3

Vaya a Configuración de red y servicio > Seguridad> Autenticación 802.1X.

4

Active la autenticación IEEE 802.1X.

5

Seleccione Apply (Aplicar).

Ver información sobre la configuración de seguridad en el teléfono

Puede ver la información sobre la configuración de seguridad en el menú telefónico. La disponibilidad de la información depende de la configuración de red de la organización.

1

Presione Settings (Ajustes).the Settings key.

2

Vaya a Configuración de red y servicio >Seguridad.

3

En la configuración deseguridad, vea la siguiente información.

Tabla 4. Parámetros para la configuración de seguridad

Parámetros

Descripción

Modo de seguridad

Muestra el modo de seguridad configurado para el teléfono.

LSC

Indica si un certificado de importancia local que se usa para las características de seguridad está instalado en el teléfono (Sí) o no está instalado en el teléfono (No).

Lista de confianza

La lista de confianza proporciona submenús para los archivos de configuración CTL, ITL y firmada.

El submenú Archivo de CTL muestra el contenido del archivo de CTL. El submenú Archivo ITL muestra el contenido del archivo ITL.

El menú Lista de confianza también muestra la siguiente información:

  • CTL Signature: el hash SHA1 del archivo CTL
  • Unified CM/TFTP Server: el nombre del servidor Cisco Unified Communications Manager y TFTP que utiliza el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor.
  • CAPF Server: el nombre del servidor CAPF que utiliza el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor.
  • SRST Router: la dirección IP del router SRST de confianza que puede utilizar el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor.

Seguridad de llamadas telefónicas

Cuando se implementa la seguridad para un teléfono, puede identificar llamadas telefónicas seguras por íconos en la pantalla del teléfono. También puede determinar si el teléfono conectado está seguro y protegido si se reproduce un tono de seguridad al inicio de la llamada.

En una llamada segura, todas las señales de llamadas y flujos de medios se cifran. Una llamada segura ofrece un alto nivel de seguridad, proporcionando integridad y privacidad a la llamada. Cuando una llamada en curso está cifrada, puede ver el icono de seguridad El icono de candado para una llamada segura En la línea. Para un teléfono seguro, también puede ver el icono de autenticación O el icono cifrado Junto al servidor conectado, en el menú telefónico (Configuración > Acerca de este dispositivo).

Si la llamada se enruta a través de segmentos de llamada que no son IP, por ejemplo, PSTN, es posible que la llamada no sea segura, aunque esté cifrada en la red IP y tenga un ícono de candado asociado.

En una llamada segura, se reproduce un tono de seguridad al inicio de una llamada para indicar que el otro teléfono conectado también está recibiendo y transmitiendo un audio seguro. Si la llamada se conecta a un teléfono no seguro, el tono de seguridad no se reproduce.

Solo se admiten llamadas seguras para conexiones entre dos teléfonos. Algunas funciones, como las llamadas de conferencia y las líneas compartidas, no están disponibles cuando se configura la llamada segura.

Cuando un teléfono está configurado como seguro (cifrado y de confianza) en Cisco Unified Communications Manager, se le puede dar un protegido estado. Después de eso, si lo desea, el teléfono protegido se puede configurar para que reproduzca un pitido de indicación al inicio de una llamada:

  • Dispositivo protegido: para cambiar el estado de un teléfono seguro a protegido, marque la casilla de verificación Protected Device (Dispositivo protegido) en la ventana Phone Configuration (Configuración del teléfono) En Administración de Cisco Unified Communications Manager (Device [Dispositivo] > Phone [Teléfono]).

  • Reproducir pitido de indicación segura: para que el teléfono protegido pueda reproducir un pitido de indicación de llamada segura o no segura, establezca la configuración de Reproducir pitido de indicación segura en Verdadero. De forma predeterminada, la opción Reproducir pitido de indicación segura está configurada como Falso. Configure esta opción en Administración de Cisco Unified Communications Manager (System (Sistema) > Service Parameters (Parámetros del servicio). Seleccione el servidor y luego el servicio Unified Communications Manager. En la ventana de configuración de parámetro de servicio, seleccione la opción en la sección Feature - Secure Tone (Función - Pitido seguro). La configuración predetermina es Falso.

Identificación de llamada de conferencia segura

Puede iniciar una llamada de conferencia segura y supervisar el nivel de seguridad de los participantes. La llamada de conferencia segura se establece mediante este proceso:

  1. El usuario inicia la conferencia desde un teléfono seguro.

  2. Cisco Unified Communications Manager asigna un puente de conferencia seguro a la llamada.

  3. A medida que se agregan participantes, Cisco Unified Communications Manager verifica el modo de seguridad de cada teléfono y mantiene el nivel seguro de la conferencia.

  4. El teléfono muestra el nivel de seguridad de la llamada de conferencia. Una conferencia segura muestra el icono de seguridad El icono de candado para una llamada segura.

La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.

En la siguiente tabla, se proporciona información acerca de los cambios en los niveles de seguridad de conferencia según el nivel de seguridad del teléfono del iniciador, los niveles de seguridad de los participantes y la disponibilidad de puentes de conferencia seguros.

Tabla 5. Restricciones de seguridad con llamadas de conferencia

Nivel de seguridad del teléfono del iniciador

Función utilizada

Nivel de seguridad de los participantes

Resultados de la acción

No seguro

Conferencia

Seguro

Puente de conferencia no seguro

Conferencia no segura

Seguro

Conferencia

Al menos un miembro no es seguro.

Puente de conferencia seguro

Conferencia no segura

Seguro

Conferencia

Seguro

Puente de conferencia seguro

Conferencia de nivel de cifrado seguro

No seguro

Meet Me

El nivel de seguridad mínimo está cifrado.

El iniciador que recibe el mensaje No cumple con el nivel de seguridad, llamada rechazada.

seguro

Meet Me

El nivel de seguridad mínimo no es seguro.

Puente de conferencia seguro

La conferencia acepta todas las llamadas.

Identificación de llamadas de teléfono seguras

Se establece una llamada segura cuando el teléfono, y el teléfono del otro extremo está configurado para llamadas seguras. El otro teléfono puede estar en la misma red de Cisco IP o en una red fuera de la red IP. Solo se pueden realizar llamadas seguras entre dos teléfonos. Las llamadas de conferencia deben admitir la llamada segura después de configurar el puente de conferencia seguro.

Se establece una llamada segura mediante este proceso:

  1. El usuario inicia la llamada desde un teléfono seguro (modo seguro asegurado).

  2. El teléfono muestra el icono de seguridad El icono de candado para una llamada segura En la pantalla del teléfono. Este ícono indica que el teléfono está configurado para llamadas seguras, pero esto no quiere decir que el otro teléfono conectado también esté asegurado.

  3. El usuario escucha un tono de seguridad si la llamada se conecta a otro teléfono seguro, lo que indica que ambos extremos de la conversación están cifrados y son seguros. Si la llamada se conecta a un teléfono no seguro, el usuario no escucha el tono de seguridad.

La llamada segura se admite entre dos teléfonos. Para los teléfonos protegidos, algunas funciones, como llamadas de conferencia, líneas compartidas y Extension Mobility, no están disponibles cuando se configura la llamada segura.

Solo los teléfonos protegidos reproducen estos pitidos de indicación seguros o no seguros. Los teléfonos no protegidos nunca reproducen tonos. Si el estado general de la llamada cambia durante la llamada, el pitido de indicación cambia y el teléfono protegido reproduce el tono apropiado.

Un teléfono protegido reproduce un tono o no bajo estas circunstancias:

  • Cuando la opción Reproducir pitido de indicación segura está habilitada:

    • Cuando se establecen medios seguros de un extremo a otro y el estado de la llamada es seguro, el teléfono reproduce el pitido de indicación segura (tres pitidos largos con pausas).

    • Cuando se establece un medio no seguro de un extremo a otro y el estado de la llamada es no segura, el teléfono reproduce el pitido de indicación no segura (seis pitidos cortos con pausas breves).

Si la opción Reproducir pitido de indicación segura está desactivada, no se reproduce el tono.

Proporcionar cifrado para la intrusión

Cisco Unified Communications Manager comprueba el estado de seguridad del teléfono cuando se establecen conferencias y cambia la indicación de seguridad de la conferencia o bloquea la finalización de la llamada para mantener la integridad y la seguridad del sistema.

Un usuario no puede irrumpir en una llamada cifrada si el teléfono que se utiliza para la intrusión no está configurado para el cifrado. Cuando la barcaza falla en este caso, se reproduce un tono de reordenación (ocupado rápido) en el teléfono que indica que se inició la barcaza.

Si el teléfono iniciador está configurado para el cifrado, el iniciador de la intrusión puede irrumpir en una llamada no segura desde el teléfono cifrado. Una vez que se produce la intrusión, Cisco Unified Communications Manager clasifica la llamada como no segura.

Si el teléfono iniciador está configurado para el cifrado, el iniciador de la barcaza puede irrumpir en una llamada cifrada y el teléfono indica que la llamada está cifrada.

WLAN seguridad

Esta sección solo se aplica a los modelos de teléfonos con capacidad Wi-Fi.

WLAN seguridad

Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura Cisco SAFE Security es compatible con el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono:

  • Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.

  • Protocolo de autenticación extensible: autenticación flexible mediante autenticación de túnel seguro (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).

    El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.

    En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.

  • Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbricas, el certificado de cliente puede ser MIC, LSC o certificado instalado por el usuario.

  • protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede utilizar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.

  • Clave precompartida (PSK): El teléfono admite ASCII formato. Debe utilizar este formato al configurar una clave precompartida WPA/WPA2/SAE:

    ASCII: cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas de a-Z, y caracteres especiales)

    Ejemplo: GREG123567@9ZX&W

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

  • WPA/WPA2/WPA3: Utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.

  • Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 son compatibles con 802.11r (FT). Tanto por aire como por DS son compatibles para permitir una itinerancia rápida y segura. Pero se recomienda utilizar el método por vía aérea 802.11 r (FT).

Con WPA/WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.

Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES cifrado. Cuando estos mecanismos se utilizan para el cifrado, tanto los paquetes SIP de señalización como los paquetes de protocolo de transporte en tiempo real (RTP) de voz se cifran entre el AP y el teléfono.

TKIP

WPA utiliza el cifrado TKIP que tiene varias mejoras con respecto a WEP. TKIP proporciona el cifrado de claves por paquete y los vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, un código de integridad de mensaje (MIC) garantiza que los paquetes cifrados no se alteran. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave WEP.

AES

Método de cifrado utilizado para la autenticación WPA2/WPA3. Este estándar nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza el cifrado CBC (cadena de bloqueo de cifrado) de 128 bits de tamaño, que admite tamaños de clave de 128 bits, 192 bits y 256 bits, como mínimo. El teléfono admite un tamaño de clave de 256 bits.

Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 no son compatibles con Cisco Key Integrity Protocol (CKIP) con CMIC.

Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

  • Cuando utiliza WPA clave precompartida, clave precompartida WPA2 o SAE, la clave precompartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.

  • El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para EAP-TLS modo, debe especificarlo.

Los esquemas de autenticación y cifrado de la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración de AP.

Tabla 6. Autenticación y esquemas de cifrado
Tipo de FSRAutenticaciónAdministración de teclasCifradoMarco de administración protegido (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

Configure el perfil LAN inalámbrico

Puede administrar el perfil de red inalámbrica mediante la configuración de credenciales, banda de frecuencia, método de autenticación, etc.

Antes de configurar el perfil de WLAN, tenga en cuenta las siguientes notas:

  • Nombre de usuario y contraseña

    • Cuando la red utiliza EAP-FAST y PEAP para la autenticación de usuario, debe configurar el nombre de usuario y la contraseña si es necesario en el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) y en el teléfono.

    • Las credenciales que introduzca en el perfil LAN inalámbrica deben ser idénticas a las credenciales que configuró en el servidor RADIUS.

    • Si usa dominios dentro de su red, debe introducir el nombre de usuario con el nombre de dominio, en el formato: dominio o nombre de usuario.

  • Las siguientes acciones pueden hacer que se borre la contraseña de Wi-Fi existente:

    • Introducir un ID de usuario o contraseña no válidos
    • Instalar una CA raíz no válida o caducada cuando el tipo de EAP está configurado como PEAP-MSCHAPV2 o PEAP-GTC
    • Desactivar el tipo de EAP en uso en el servidor RADIUS antes de cambiar el teléfono al nuevo tipo de EAP
  • Para cambiar el tipo de EAP, asegúrese de activar primero el tipo de EAP nuevo en el servidor RADIUS y luego cambie el teléfono al tipo de EAP. Cuando todos los teléfonos se han cambiado a un tipo de EAP nuevo, puede deshabilitar el tipo de EAP anterior si lo desea.
1

En Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Device Settings (Configuración del dispositivo) > Wireless LAN Profile (Perfil LAN inalámbrico).

2

Seleccione el perfil de red que desea configurar.

3

Configurar los parámetros.

4

Haga clic en Guardar.

Instale manualmente un certificado del servidor de autenticación

Puede instalar manualmente un certificado del servidor de autenticación en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

El certificado de CA raíz que emitió el certificado de servidor RADIUS debe estar instalado para EAP-TLS.

Antes de comenzar

Para poder instalar un certificado en un teléfono, debe tener un certificado del servidor de autenticación guardado en su PC. El certificado debe estar codificado en PEM (base-64) o DER.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el campo Authentication server CA (CA del servidor de autenticación) y haga clic en Install (Instalar).

3

Busque el certificado en la PC.

4

Haga clic en Upload (Cargar).

5

Reinicie el teléfono después de haber terminado la carga.

Si vuelve a instalar más de un certificado, solo se usará el último instalado.

Instalar manualmente un certificado de usuario

Puede instalar manualmente un certificado de usuario en el teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

El certificado instalado en fabricación (MIC) preinstalado se puede utilizar como certificado de usuario para EAP-TLS.

Después de que el certificado de usuario se instale, agréguelo a la lista confiable del servidor RADIUS.

Antes de comenzar

Para poder instalar un certificado de usuario para un teléfono, debe tener:

  • Certificado de usuario guardado en su PC. El certificado debe tener formato PKCS #12.

  • La contraseña para extraer el certificado.

    Esta contraseña puede tener hasta 16 caracteres.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el campo User installed (Usuario instalado) y haga clic en Install (Instalar).

3

Busque el certificado en la PC.

4

En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado.

5

Haga clic en Upload (Cargar).

6

Reinicie el teléfono después de haber terminado la carga.

Quitar manualmente un certificado de seguridad

Puede quitar manualmente un certificado de seguridad de un teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el certificado en la página Certificados.

3

Haga clic en Delete (Eliminar).

4

Reinicie el teléfono después de que finalice el proceso de eliminación.

Configuración de los parámetros de SCEP

El protocolo simple de inscripción de certificados (SCEP) es el estándar para aprovisionar y renovar automáticamente los certificados. El servidor SCEP puede mantener automáticamente los certificados de usuario y servidor.

Debe configurar los siguientes parámetros de SCEP en la página web del teléfono

  • Dirección IP RA

  • Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP

La autoridad de registro de Cisco IOS (RA) sirve como proxy para el servidor SCEP. El cliente SCEP del teléfono utiliza los parámetros que se descargan de Cisco Unified Communication Manager. Después de configurar los parámetros, el teléfono envía una solicitud SCEP getcs al RA y el certificado de CA raíz se valida utilizando la huella digital definida.

Antes de comenzar

En el servidor SCEP, configure el agente de registro SCEP (RA) para:

  • Actuar como punto de confianza de PKI
  • Actuar como una RA de la PKI
  • Realice la autenticación de dispositivo con un servidor RADIUS

Para obtener más información, consulte la documentación de servidor SCEP.

1

Desde Administración de Cisco Unified Communications Manager, seleccione Device (Dispositivo) > Phone (Teléfono).

2

Busque el teléfono.

3

Desplácese hasta el área Configuración específica del producto.

4

Active la casilla WLAN servidor SCEP para activar el parámetro SCEP.

5

Marque el cuadro de verificación WLAN Root CA Fingerprint(SHA256 or SHA1) (Huella digital de entidad emisora WLAN raíz CA [SHA256 o SHA1]) para activar el parámetro QED de SCEP.

Configurar las versiones compatibles de TLS

Puede configurar la versión mínima de TLS necesaria para el cliente y el servidor, respectivamente.

De forma predeterminada, la versión TLS mínima del servidor y del cliente es 1.2. La configuración tiene repercusiones en las siguientes funciones:

  • Conexión de acceso web HTTPS
  • Incorporación para teléfono local
  • Incorporación de dispositivos móviles y Remote Access (MRA)
  • Servicios HTTPS, como los servicios de directorio
  • Seguridad de la capa de transporte de datagramas (DTLS)
  • Entidad de Acceso Portuario (PAE)
  • Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS)

Para obtener más información acerca de la compatibilidad de TLS 1.3 para Cisco IP Phones, consulte TLS Matriz de compatibilidad 1.3 para productos de colaboración de Cisco.

1

Inicie sesión como administrador en Cisco Unified Communications Manager.

2

Navegue a una de las siguientes ventanas:

  • Sistema > Configuración de teléfono de la empresa
  • Configuración > dispositivo> Perfil de teléfono común
  • Configuración > teléfono > teléfono
3

Configure el campo TLS versión mínima del cliente:

La opción "TLS 1.3" está disponible en Cisco Unified CM 15SU2 o posterior.
  • TLS 1.1: El cliente TLS admite las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el servidor es inferior a 1.1, por ejemplo, 1.0, no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): el cliente TLS admite TLS 1.2 y 1.3.

    Si la versión TLS en el servidor es inferior a 1.2, por ejemplo, 1.1 o 1.0, no se puede establecer la conexión.

  • TLS 1.3: El cliente TLS solo admite TLS 1.3.

    Si la versión TLS en el servidor es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, no se puede establecer la conexión.

4

Configure el campo Versión mínima del servidor TLS:

  • TLS 1.1: El servidor TLS admite las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el cliente es inferior a 1.1, por ejemplo, 1.0, no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): El servidor TLS admite TLS 1.2 y 1.3.

    Si la versión de TLS en el cliente es inferior a 1.2, por ejemplo, 1.1 o 1.0, no se puede establecer la conexión.

  • TLS 1.3: El servidor TLS solo admite TLS 1.3.

    Si la versión de TLS en el cliente es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, no se puede establecer la conexión.

Desde la versión 3.2 de PhoneOS, la configuración del campo "Deshabilitar TLS 1.0 y TLS 1.1 para acceso web" no afecta a los teléfonos.
5

Haga clic en Guardar.

6

Haga clic en Aplicar configuración.

7

Reinicie los teléfonos.

SIP de servicios garantizados

Assured Services SIP (AS-SIP) es una colección de características y protocolos que ofrecen un flujo de llamadas altamente seguro para teléfonos Cisco IP Phones y de terceros. Las siguientes características se conocen colectivamente como AS-SIP:

  • Precedencia y preferencia multinivel (MLPP)
  • Punto de código de servicios diferenciados (DSCP)
  • Seguridad de la capa de transporte (TLS) y protocolo de transporte seguro en tiempo real (SRTP)
  • Protocolo de Internet versión 6 (IPv6)

AS-SIP se utiliza a menudo con precedencia y preferencia multinivel (MLPP) para priorizar las llamadas durante una emergencia. Con MLPP, asigna un nivel de prioridad a sus llamadas salientes, desde el nivel 1 (bajo) hasta el nivel 5 (alto). Cuando recibe una llamada, aparece un icono de nivel de prioridad en el teléfono que muestra la prioridad de la llamada.

Para configurar AS-SIP, realice las siguientes tareas en Cisco Unified Communications Manager:

  • Configurar un usuario de resumen: configure el usuario final para que utilice la autenticación implícita para las solicitudes SIP.
  • Configurar puerto seguro de teléfono SIP: Cisco Unified Communications Manager utiliza este puerto para escuchar teléfonos SIP para registros de línea SIP a través de TLS.
  • Reiniciar servicios: después de configurar el puerto seguro, reinicie los servicios Cisco Unified Communications Manager y Cisco CTL Provider. Configurar perfil SIP para AS-SIP: configure un perfil SIP con configuración SIP para los extremos AS-SIP y para los troncales SIP. Los parámetros específicos del teléfono no se descargan en un teléfono AS-SIP de terceros. Sólo los utiliza Cisco Unified Manager. Los teléfonos de terceros deben configurar localmente los mismos ajustes.
  • Configurar perfil de seguridad del teléfono para AS-SIP: puede usar el perfil de seguridad del teléfono para asignar configuraciones de seguridad como autenticación de TLS, SRTP y resumen de suscripción.
  • Configure AS-SIP endpoint: configure un Cisco IP Phone o un endpoint de terceros compatible con AS-SIP.
  • Asociar dispositivo con usuario final: asocia el punto final con un usuario.
  • Configurar perfil de seguridad de troncal SIP para AS-SIP: puede utilizar el perfil de seguridad de troncal SIP para asignar funciones de seguridad como autenticación TLS o implícita a un troncal SIP.
  • Configurar troncal SIP para AS-SIP: configure un troncal SIP compatible con AS-SIP.
  • Configurar funciones AS-SIP: configure funciones AS-SIP adicionales como MLPP, TLS, V.150 e IPv6.

Para obtener información detallada acerca de la configuración de AS-SIP, consulte el capítulo "Configurar extremos AS-SIP" en la Guía de configuración de características para Cisco Unified Communications Manager.

Precedencia y preferencia multinivel

La preferencia y precedencia multinivel (MLPP) le permite priorizar las llamadas durante emergencias u otras situaciones de crisis. Asigne una prioridad a las llamadas salientes que oscile entre 1 y 5. Las llamadas entrantes muestran un icono y la prioridad de llamada. Los usuarios autenticados pueden tener preferencia sobre las llamadas a estaciones de destino o a través de troncales TDM totalmente suscritos.

Esta capacidad asegura al personal de alto rango la comunicación con las organizaciones y el personal críticos.

MLPP se utiliza a menudo con Assured Services SIP (AS-SIP). Para obtener información detallada acerca de la configuración de MLPP, consulte el capítulo Configurar precedencia y preferencia multinivel en la Guía de configuración de características para Cisco Unified Communications Manager.

Configurar FAC y CMC

Cuando los códigos de autorización forzada (FAC) o los códigos de cliente (CMC), o ambos, están configurados en el teléfono, los usuarios deben ingresar las contraseñas necesarias para marcar un número.

Para obtener más información acerca de cómo configurar FAC y CMC en Cisco Unified Communications Manager, consulte el capítulo "Códigos de cliente y códigos de autorización forzada" en Guía de configuración de características para Cisco Unified Communications Manager, Release 12.5 (1) o posterior.