Seguridad del teléfono IP de Cisco

Puede permitir que Cisco Unified Communications Manager funcione en un entorno de seguridad mejorado. Con estas mejoras, la red telefónica funciona bajo un conjunto de estrictos controles de seguridad y administración de riesgos para protegerlo a usted y a sus usuarios.

El entorno de seguridad mejorado incluye las siguientes funciones:

Autenticación de búsqueda de contactos.
TCP como protocolo predeterminado para el registro de auditoría remota.
Modo FIPS.
Una política de credenciales mejorada.
Soporte para la familia SHA-2 de hashes para firmas digitales.
Soporte para un tamaño de clave RSA de 512 bits y 4096 bits.

Con la versión 14.0 de Cisco Unified Communications Manager y la versión de firmware de Cisco Video Phone 2.1 y versiones posteriores, los teléfonos son compatibles con la autenticación SIP OAuth.

OAuth es compatible con el Protocolo trivial de transferencia de archivos (TFTP) de proxy con Cisco Unified Communications Manager versión 14.0(1)SU1 o posterior. El proxy TFTP y OAuth para el proxy TFTP no son compatibles con el acceso remoto móvil (MRA).

Para obtener información adicional sobre seguridad, consulte lo siguiente:

Guía de configuración del sistema para Cisco Unified Communications Manager, versión 14.0(1) o posterior ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-installation-and-configuration-guides-list.html).
Guía de seguridad para Cisco Unified Communications Manager ( https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html)

El teléfono solo puede almacenar una cantidad limitada de archivos de lista de confianza de identidad (ITL). Los archivos ITL no pueden exceder los 64K en el teléfono, por lo que limite la cantidad de archivos que Cisco Unified Communications Manager envía al teléfono.

Funciones de seguridad admitidas

Las funciones de seguridad protegen contra las amenazas, incluidas las amenazas a la identidad del teléfono y a los datos. Estas funciones establecen y mantienen flujos de comunicación autenticados entre el teléfono y el servidor de Cisco Unified Communications Manager, y garantizan que el teléfono utilice solo archivos firmados digitalmente.

Cisco Unified Communications Manager, versión 8.5(1) y posteriores, incluye seguridad de manera predeterminada, que proporciona las siguientes funciones de seguridad para teléfonos IP Cisco sin ejecutar el cliente CTL:

Firma de los archivos de configuración del teléfono
Cifrado del archivo de configuración del teléfono
HTTPS con Tomcat y otros servicios web

Las características de señalización y medios seguros aún requieren que ejecute el cliente CTL y utilice eTokens de hardware.

La implementación de seguridad en el sistema Cisco Unified Communications Manager evita el robo de identidad del teléfono y del servidor de Cisco Unified Communications Manager, evita la manipulación de datos y evita la manipulación de señales de llamadas y flujos de medios.

Para aliviar estas amenazas, la red de telefonía IP de Cisco establece y mantiene flujos de comunicación seguros (cifrados) entre un teléfono y el servidor, firma digitalmente los archivos antes de que se transfieran a un teléfono y cifra flujos de medios y señalización de llamadas entre teléfonos IP de Cisco.

Un certificado significativo localmente (LSC) se instala en los teléfonos después de realizar las tareas necesarias asociadas con la función proxy de la autoridad de certificación (CAPF). Puede utilizar la administración de Cisco Unified Communications Manager para configurar un LSC, como se describe en la Guía de seguridad de Cisco Unified Communications Manager. Como alternativa, puede iniciar la instalación de un LSC desde el menú Configuración de seguridad en el teléfono. Este menú también le permite actualizar o eliminar un LSC.

No se puede utilizar un LSC como certificado de usuario para EAP-TLS con autenticación WLAN.

Los teléfonos utilizan el perfil de seguridad del teléfono, que define si el dispositivo no es seguro o no. Para obtener información sobre cómo aplicar el perfil de seguridad al teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Si configura ajustes relacionados con la seguridad en la administración de Cisco Unified Communications Manager, el archivo de configuración del teléfono contiene información confidencial. Para garantizar la privacidad de un archivo de configuración, debe configurarlo para el cifrado. Para obtener información detallada, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

El teléfono cumple con el Estándar de procesamiento de información federal (FIPS). Para funcionar correctamente, el modo FIPS requiere un tamaño de clave de 2048 bits o superior. Si el certificado tiene menos de 2048 bits, el teléfono no se registrará con Cisco Unified Communications Manager y el teléfono no se registrará. El tamaño de la clave de certificado no cumple con FIPS se muestra en el teléfono.

Si el teléfono tiene un LSC, debe actualizar el tamaño de la clave LSC a 2048 bits o más antes de habilitar FIPS.

En la siguiente tabla, se proporciona una descripción general de las funciones de seguridad compatibles con los teléfonos. Para obtener más información, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Para ver el modo de seguridad, presione Configuración la tecla Configuración y navegue hasta Red y servicio > Configuración de seguridad.

Tabla 1. Descripción general de las funciones de seguridad
Característica	Descripción
Autenticación de imagen	Los archivos binarios firmados impiden la manipulación de la imagen de firmware antes de que la imagen se cargue en un teléfono. La alteración de la imagen provoca que un teléfono falle en el proceso de autenticación y rechace la nueva imagen.
Instalación del certificado del sitio del cliente	Cada teléfono IP de Cisco requiere un certificado único para la autenticación de dispositivos. Los teléfonos incluyen un certificado instalado por el fabricante (MIC), pero, para mayor seguridad, puede especificar la instalación del certificado en la administración de Cisco Unified Communications Manager mediante la función proxy de la autoridad de certificación (CAPF). Como alternativa, puede instalar un certificado significativo localmente (LSC) desde el menú Configuración de seguridad en el teléfono.
Autenticación del dispositivo	Ocurre entre el servidor de Cisco Unified Communications Manager y el teléfono cuando cada entidad acepta el certificado de la otra entidad. Determina si debe producirse una conexión segura entre el teléfono y un Cisco Unified Communications Manager y, si es necesario, crea una ruta de señalización segura entre las entidades mediante el uso del protocolo TLS. Cisco Unified Communications Manager no registra teléfonos a menos que pueda autenticarlos.
Autenticación de archivos	Valida los archivos firmados digitalmente que descarga el teléfono. El teléfono valida la firma para asegurarse de que la manipulación de archivos no se haya producido después de la creación del archivo. Los archivos que fallan en la autenticación no se escriben en la memoria Flash del teléfono. El teléfono rechaza dichos archivos sin más procesamiento.
Cifrado de archivos	El cifrado evita que se revele información confidencial mientras el archivo está en tránsito al teléfono. Además, el teléfono valida la firma para asegurarse de que la manipulación de archivos no se haya producido después de la creación del archivo. Los archivos que fallan en la autenticación no se escriben en la memoria Flash del teléfono. El teléfono rechaza dichos archivos sin más procesamiento.
Autenticación de señalización	Utiliza el protocolo TLS para validar que no se hayan producido alteraciones en los paquetes de señalización durante la transmisión.
Certificado instalado en la fabricación	Cada teléfono IP de Cisco contiene un certificado instalado por el fabricante único (MIC) que se utiliza para la autenticación de dispositivos. El MIC proporciona una prueba de identidad única permanente para el teléfono y permite que Cisco Unified Communications Manager autentique el teléfono.
Cifrado de medios	Utiliza SRTP para garantizar que los flujos de medios entre los dispositivos para los que se proporciona soporte resulten seguros y que solo el dispositivo deseado reciba y lea los datos. Incluye la creación de un par de claves primarias de medios para los dispositivos, la entrega de las claves a los dispositivos y la seguridad de la entrega de las claves mientras las claves están en transporte.
CAPF (función proxy de la autoridad de certificación)	Implementa partes del procedimiento de generación de certificados que requieren demasiado procesamiento para el teléfono e interactúa con el teléfono para la generación de claves y la instalación de certificados. El CAPF se puede configurar para solicitar certificados a las autoridades de emisión de certificados especificadas por el cliente en nombre del teléfono, o se puede configurar para generar certificados localmente. Se admiten los tipos de clave EC (curva elíptica) y RSA. Para utilizar la clave EC, asegúrese de que el parámetro "Compatibilidad de algoritmos de cifrado avanzados de extremos" (de Sistema > Parámetro empresarial) esté activado. Para obtener más información sobre CAPF y configuraciones relacionadas, consulte los siguientes documentos: Guía de seguridad para Cisco Unified Communications Manager Ejemplo de configuración de generación e importación de LSC firmados por una CA de terceros de CUCM Configurar la inscripción y la renovación automáticas de certificados a través de la CA en línea de CAPF
Perfil de seguridad	Define si el teléfono no es seguro, autenticado, cifrado o protegido. Otras entradas de esta tabla describen las funciones de seguridad.
Archivos de configuración cifrados	Le permite garantizar la privacidad de los archivos de configuración del teléfono.
Desactivación opcional del servidor web para un teléfono	Por motivos de seguridad, puede impedir el acceso a las páginas web de un teléfono (que muestran diversas estadísticas operativas del teléfono) y al portal de atención automática.
Endurecimiento de teléfonos	Opciones de seguridad adicionales, que controla desde la administración de Cisco Unified Communications Manager: Deshabilitación del puerto de PC Desactivación del ARP gratuito (GARP) Desactivación del acceso a la VLAN de voz de la PC Deshabilitar el acceso al menú de configuración o proporcionar acceso restringido Desactivación del acceso a páginas web para un teléfono Desactivación del puerto de accesorio Bluetooth Restringir cifrados TLS
Autenticación 802.1X	El Teléfono IP de Cisco puede utilizar la autenticación 802.1X para solicitar y obtener acceso a la red. Consulte Autenticación 802.1X para obtener más información.
Conmutación por error de SIP seguro para SRST	Después de configurar una referencia de telefonía de sitio remoto supervivencia (SRST) para la seguridad y, luego, restablecer los dispositivos dependientes en la administración de Cisco Unified Communications Manager, el servidor TFTP agrega el certificado SRST al archivo cnf.xml del teléfono y envía el archivo al teléfono. Un teléfono seguro utiliza una conexión TLS para interactuar con el enrutador habilitado para SRST.
Cifrado de señales	Garantiza que todos los mensajes de señalización SIP que se envían entre el dispositivo y el servidor de Cisco Unified Communications Manager estén cifrados.
Alarma de actualización de la lista de confianza	Cuando la lista de confianza se actualiza en el teléfono, Cisco Unified Communications Manager recibe una alarma que indica el éxito o el error de la actualización. Consulte la siguiente tabla para obtener más información.
Cifrado AES 256	Cuando se conectan a la versión 10.5(2) de Cisco Unified Communications Manager y versiones posteriores, los teléfonos son compatibles con el cifrado AES 256 para TLS y SIP para el cifrado de señales y medios. Esto permite que los teléfonos inicien y admitan conexiones TLS 1.2 mediante cifrados basados en AES-256 que cumplen con los estándares SHA-2 (algoritmo de hash seguro) y cumplen con los estándares federales de procesamiento de información (FIPS). Los cifrados incluyen: Para conexiones TLS: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Para sRTP: AEAD_AES_256_GCM AEAD_AES_128_GCM Para obtener más información, consulte la documentación de Cisco Unified Communications Manager.
Certificados del algoritmo de firma digital de curva elíptica (ECDSA)	Como parte de la certificación de Common Criteria (CC), Cisco Unified Communications Manager agregó certificados de ECDSA en la versión 11.0. Esto afecta a todos los productos de sistemas operativos de voz (VOS) que ejecutan CUCM 11.5 y versiones posteriores.
Certificado Tomcat multiservidor (SAN) con Cisco UCM	El teléfono admite Cisco UCM con certificados Tomcat de múltiples servidores (SAN) configurados. La dirección correcta del servidor TFTP se puede encontrar en el archivo ITL del teléfono para el registro del teléfono. Para obtener más información sobre la característica, consulte lo siguiente: Cómo configurar el certificado de Tomcat multiservidor (SAN) con Cisco UCM Guía de seguridad para Cisco Unified Communications Manager

La siguiente tabla contiene los mensajes de alarma de actualización de la lista de confianza y el significado. Para obtener más información, consulte la documentación de Cisco Unified Communications Manager.

Tabla 2. Mensajes de alarma de actualización de la lista de confianza
Código y mensaje	Descripción
1 - TL_ÉXITO	Recibió CTL y/o ITL nuevos
2 - ÉXITO_INICIAL_DE CTL	Se recibió un CTL nuevo, no hay TL existente
3 - ITL_ÉXITO_INICIAL	Se recibió ITL nuevo, no hay TL existente
4 - ÉXITO_INICIAL_	Recibió CTL e ITL nuevos, sin TL existente
5 - TL_FAILED_OLD_CTL	Error en la actualización al nuevo CTL, pero tiene TL anterior
6 - TL_FAILED_NO_TL	Error en la actualización a la nueva TL y no tiene ninguna TL antigua
7 - ERROR EN_TL	Falla genérica
8 - L_FALLIDO_ANTIGUO_ITL	Error en la actualización al nuevo ITL, pero tiene TL anterior
9 - TL_FAILED_OLD_TL	Error en la actualización a una nueva TL, pero tiene una TL anterior

El menú Security Setup (Configuración de seguridad) proporciona información sobre diversas configuraciones de seguridad. El menú también proporciona acceso al menú Lista de confianza e indica si el archivo CTL o ITL está instalado en el teléfono.

En la siguiente tabla se describen las opciones del menú Configuración de seguridad.

Cuadro 3. Menú de configuración de seguridad
Opción	Descripción	Para cambiar
Modo de seguridad	Muestra el modo de seguridad configurado para el teléfono.	En la administración de Cisco Unified Communications Manager, elija Dispositivo > Teléfono. La configuración aparece en la parte Protocol Specific Information (Información específica del protocolo) de la ventana Phone Configuration (Configuración del teléfono).
lsc	Indica si un certificado significativo localmente que se utiliza para las funciones de seguridad está instalado en el teléfono (Instalado) o no está instalado en el teléfono (No instalado).	Para obtener información acerca de cómo administrar el LSC para su teléfono, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

Configurar un certificado significativo localmente (LSC)

Esta tarea se aplica a la configuración de un LSC con el método de cadenas de autenticación.

Antes de comenzar

Asegúrese de que las configuraciones de seguridad adecuadas de Cisco Unified Communications Manager y de la función proxy de la autoridad de certificación (CAPF) estén completas:

El archivo CTL o ITL tiene un certificado CAPF.
En la administración del sistema operativo de Cisco Unified Communications, verifique que el certificado CAPF esté instalado.
El CAPF se está ejecutando y configurando.

Para obtener más información acerca de esta configuración, consulte la documentación de su versión específica de Cisco Unified Communications Manager.

1	Obtenga el código de autenticación CAPF que se configuró cuando se configuró el CAPF.
2	En el teléfono, presione Configuración.
3	Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.
4	Navegue a Red y servicio > Configuración de seguridad > LSC. Puede controlar el acceso al menú Configuración mediante el campo Acceso a la configuración en la administración de Cisco Unified Communications Manager.
5	Introduzca la cadena de autenticación y seleccione Enviar. El teléfono comienza a instalar, actualizar o eliminar el LSC, según la configuración del CAPF. Cuando se completa el procedimiento, se muestra Instalado o No instalado en el teléfono. El proceso de instalación, actualización o eliminación de LSC puede tardar mucho tiempo en completarse. Cuando el procedimiento de instalación del teléfono es correcto, aparece el mensaje `Instalado` . Si el teléfono muestra `No instalado`, es posible que la cadena de autorización sea incorrecta o que la actualización del teléfono no esté habilitada. Si la operación CAPF elimina el LSC, el teléfono muestra `No instalado` para indicar que la operación se realizó correctamente. El servidor CAPF registra los mensajes de error. Consulte la documentación del servidor CAPF para buscar los registros y comprender el significado de los mensajes de error.

Habilitar el modo FIPS

1	En la administración de Cisco Unified Communications Manager, seleccione Dispositivo > Teléfono y busque el teléfono.
2	Diríjase al área Configuración específica del producto .
3	Defina el campo Modo FIPS en Habilitado.
4	Seleccione Guardar.
5	Seleccione Aplicar configuración.
6	Reinicie el teléfono.

Desactivar el altavoz, los auriculares y el auricular en un teléfono

Tiene las opciones de desactivar permanentemente el altavoz, los auriculares y el auricular en un teléfono para el usuario.

1	En la administración de Cisco Unified Communications Manager, seleccione Dispositivo > Teléfono y busque el teléfono.
2	Diríjase al área Configuración específica del producto .
3	Marque una o más de las siguientes casillas de verificación para desactivar las capacidades del teléfono: Desactivar altavoz de teléfono Desactivar altavoz y auriculares Desactivar auricular De forma predeterminada, estas casillas de verificación no están marcadas.
4	Seleccione Guardar.
5	Seleccione Aplicar configuración.

Autenticación 802.1X

Los teléfonos IP Cisco son compatibles con la autenticación 802.1X.

Tradicionalmente, los teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Protocolo de detección de Cisco (CDP) para identificarse entre sí y determinar parámetros como la asignación de VLAN y los requisitos de alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.

Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la PC conectada localmente se desconecta del teléfono IP, el switch de LAN no ve que el enlace físico falla, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar comprometer la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la PC descendente, lo que activa el switch de LAN para borrar la entrada de autenticación para la PC descendente.

El soporte para la autenticación 802.1X requiere varios componentes:

Teléfono IP de Cisco: El teléfono inicia la solicitud para acceder a la red. Los teléfonos IP de Cisco contienen un solicitante 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.
Servidor de autenticación: El servidor de autenticación y el switch deben estar configurados con un secreto compartido que autentica el teléfono.
Conmutador: El switch debe admitir 802.1X, para que pueda actuar como autenticador y pasar los mensajes entre el teléfono y el servidor de autenticación. Una vez finalizado el intercambio, el switch concede o deniega el acceso del teléfono a la red.

Debe realizar las siguientes acciones para configurar 802.1X.

Configure los otros componentes antes de habilitar la autenticación 802.1X en el teléfono.
Configurar puerto de PC: El estándar 802.1X no tiene en cuenta las VLAN y, por lo tanto, recomienda que solo se autentique un dispositivo en un puerto de switch específico. Sin embargo, algunos switches admiten la autenticación de multidominio. La configuración del switch determina si puede conectar una PC al puerto de PC del teléfono.
- Habilitado: Si está utilizando un switch que admite la autenticación de varios dominios, puede habilitar el puerto de PC y conectar una PC a este. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.
  
  Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración del switch Cisco Catalyst en:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Deshabilitado: Si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe deshabilitar el puerto de PC cuando la autenticación 802.1X esté habilitada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch deniega el acceso de red tanto al teléfono como a la PC.
Configurar la VLAN de voz: Dado que el estándar 802.1X no tiene en cuenta las VLAN, debe configurar este ajuste en función de la compatibilidad del switch.
- Habilitado: Si está utilizando un switch que admite la autenticación de varios dominios, puede continuar usando la VLAN de voz.
- Deshabilitado: Si el switch no admite la autenticación multidominio, deshabilite la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
(Solo para teléfonos de escritorio Cisco serie 9800)
El teléfono de escritorio Cisco serie 9800 tiene un prefijo diferente en el PID al de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, defina el parámetro Radio·Nombre de usuario para que incluya su teléfono de escritorio Cisco serie 9800.
Por ejemplo, el PID del teléfono 9841 es DP-9841; puede configurar Radio·Nombre de usuario en Iniciar con DP o Contiene DP. Puede definirlo en las dos secciones siguientes:
- Política > Condiciones > Condiciones de la biblioteca
- Directiva > Conjuntos de directivas > Directiva de autorización > Regla de autorización 1

Activar la autenticación 802.1X

Puede activar la autenticación 802.1X para su teléfono siguiendo estos pasos:

1	Presione Configuración.
2	Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.
3	Navegue a Red y servicio > Configuración de seguridad > Autenticación 802.1X.
4	Active la autenticación IEEE 802.1X.
5	Seleccione Aplicar.

Ver información sobre la configuración de seguridad en el teléfono

Puede ver la información sobre la configuración de seguridad en el menú del teléfono. La disponibilidad de la información depende de la configuración de red de su organización.

Presione Configuración la clave de configuración .

Navegue a Red y servicio > Configuración de seguridad.

En Configuración de seguridad, vea la siguiente información.

Cuadro 4. Parámetros para la configuración de seguridad
Parámetros	Descripción
Modo de seguridad	Muestra el modo de seguridad configurado para el teléfono.
lsc	Indica si un certificado significativo localmente que se utiliza para las funciones de seguridad está instalado en el teléfono (Sí) o no (No).
Lista de confianza	La lista de confianza proporciona submenús para los archivos de configuración CTL, ITL y firmado. El submenú Archivo CTL muestra el contenido del archivo CTL. El submenú Archivo ITL muestra el contenido del archivo ITL. El menú Lista de confianza también muestra la siguiente información: Firma de CTL: el hash SHA1 del archivo CTL Servidor de Unified CM/TFTP: el nombre de Cisco Unified Communications Manager y el servidor TFTP que utiliza el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor. Servidor de CAPF: el nombre del servidor CAPF que utiliza el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor. Enrutador SRST: la dirección IP del enrutador SRST de confianza que puede utilizar el teléfono. Muestra un icono de certificado si hay un certificado instalado para este servidor.

Seguridad de llamadas telefónicas

Cuando se implementa la seguridad para un teléfono, puede identificar las llamadas telefónicas seguras mediante iconos en la pantalla del teléfono. También puede determinar si el teléfono conectado es seguro y protegido si se reproduce un tono de seguridad al comienzo de la llamada.

En una llamada segura, todos los flujos de medios y señalización de llamadas están cifrados. Una llamada segura ofrece un alto nivel de seguridad, proporcionando integridad y privacidad a la llamada. Cuando una llamada en curso está cifrada, puede ver el icono seguro el icono de candado para una llamada segura en la línea. En el caso de un teléfono seguro, también puede ver el icono autenticado o el icono cifrado junto al servidor conectado en el menú telefónico (Configuración > Acerca de este dispositivo).

Si la llamada se enruta a través de tramos de llamadas que no son de IP, por ejemplo, PSTN, es posible que la llamada no sea segura aunque esté cifrada dentro de la red IP y tenga un icono de bloqueo asociado a ella.

En una llamada segura, se reproduce un tono de seguridad al comienzo de una llamada para indicar que el otro teléfono conectado también está recibiendo y transmitiendo audio seguro. Si la llamada se conecta a un teléfono no seguro, el tono de seguridad no se reproduce.

Las llamadas seguras solo son compatibles con las conexiones entre dos teléfonos. Algunas características, como las llamadas en conferencia y las líneas compartidas, no están disponibles cuando se configura una llamada segura.

Cuando un teléfono está configurado como seguro (cifrado y de confianza) en Cisco Unified Communications Manager, se le puede otorgar un estado protegido . A continuación, si se desea, el teléfono protegido se puede configurar para que reproduzca un tono de indicación al comienzo de una llamada:

Dispositivo protegido: Para cambiar el estado de un teléfono seguro a protegido, marque la casilla de verificación Dispositivo protegido en la ventana Configuración del teléfono en la administración de Cisco Unified Communications Manager (Dispositivo > Teléfono).
Reproducir tono de indicación seguro: Para permitir que el teléfono protegido reproduzca un tono de indicación seguro o no seguro, establezca el ajuste Reproducir tono de indicación seguro en Verdadero. De forma predeterminada, Reproducir tono de indicación seguro se establece en Falso. Esta opción se configura en la administración de Cisco Unified Communications Manager (Sistema > Parámetros de servicio). Seleccione el servidor y, luego, el servicio de Unified Communications Manager. En la ventana Service Parameter Configuration (Configuración de parámetros de servicio), seleccione la opción en el área Feature - Secure Tone (Función - Tono seguro). El valor predeterminado es False.

Identificación segura de llamadas en conferencia

Puede iniciar una llamada de conferencia segura y supervisar el nivel de seguridad de los participantes. Se establece una llamada de conferencia segura mediante este proceso:

Un usuario inicia la conferencia desde un teléfono seguro.
Cisco Unified Communications Manager asigna un puente de conferencia seguro a la llamada.
A medida que se agregan participantes, Cisco Unified Communications Manager verifica el modo de seguridad de cada teléfono y mantiene el nivel seguro para la conferencia.
El teléfono muestra el nivel de seguridad de la llamada en conferencia. Una conferencia segura muestra el icono seguro .

Se admiten llamadas seguras entre dos teléfonos. En el caso de los teléfonos protegidos, algunas funciones, como las llamadas de conferencia, las líneas compartidas y la movilidad de la extensión, no están disponibles cuando se configura una llamada segura.

En la siguiente tabla se proporciona información sobre los cambios en los niveles de seguridad de la conferencia según el nivel de seguridad del teléfono del iniciador, los niveles de seguridad de los participantes y la disponibilidad de puentes de conferencia seguros.

Tabla 5. Restricciones de seguridad con las llamadas en conferencia
Nivel de seguridad del teléfono del iniciador	Característica utilizada	Nivel de seguridad de los participantes	Resultados de la acción
No seguro	Conferencia	Seguro	Puente de conferencia no seguro Conferencia no segura
Seguro	Conferencia	Al menos un miembro no es seguro.	Puente de conferencia seguro Conferencia no segura
Seguro	Conferencia	Seguro	Puente de conferencia seguro Conferencia de nivel cifrado seguro
No seguro	Reúnase conmigo	El nivel mínimo de seguridad está cifrado.	El iniciador recibe el mensaje `No cumple con el nivel de seguridad, llamada rechazada`.
Seguro	Reúnase conmigo	El nivel mínimo de seguridad no es seguro.	Puente de conferencia seguro La conferencia acepta todas las llamadas.

Identificación segura de llamadas telefónicas

Se establece una llamada segura cuando su teléfono, y el teléfono del otro extremo, están configurados para realizar llamadas seguras. El otro teléfono puede estar en la misma red IP de Cisco o en una red fuera de la red IP. Solo se pueden realizar llamadas seguras entre dos teléfonos. Las llamadas de conferencia deben admitir llamadas seguras después de configurar el puente de conferencia seguro.

Se establece una llamada protegida mediante este proceso:

Un usuario inicia la llamada desde un teléfono protegido (modo de seguridad protegida).
El teléfono muestra el icono seguro en la pantalla del teléfono. Este icono indica que el teléfono está configurado para llamadas seguras, pero esto no significa que el otro teléfono conectado también esté seguro.
El usuario escucha un tono de seguridad si la llamada se conecta a otro teléfono protegido, lo que indica que ambos extremos de la conversación están cifrados y protegidos. Si la llamada se conecta a un teléfono no seguro, el usuario no escucha el tono de seguridad.

Solo los teléfonos protegidos reproducen estos tonos de indicación seguros o no seguros. Los teléfonos no protegidos nunca reproducen tonos. Si el estado general de la llamada cambia durante la llamada, el tono de indicación cambia y el teléfono protegido reproduce el tono adecuado.

Un teléfono protegido reproduce un tono o no en estas circunstancias:

Cuando se habilita la opción Reproducir tono de indicación seguro:
- Cuando se establecen medios seguros de extremo a extremo y el estado de la llamada es seguro, el teléfono reproduce el tono de indicación segura (tres pitidos largos con pausas).
- Cuando se establecen medios no seguros de extremo a extremo y el estado de la llamada no es seguro, el teléfono reproduce el tono de indicación no seguro (seis pitidos cortos con breves pausas).

Si la opción Reproducir tono de indicación seguro está desactivada, no se reproduce ningún tono.

Proporcionar cifrado para la intrusión

Cisco Unified Communications Manager verifica el estado de seguridad del teléfono cuando se establecen conferencias y cambia la indicación de seguridad para la conferencia o bloquea la finalización de la llamada para mantener la integridad y la seguridad en el sistema.

Un usuario no puede realizar una intromisión en una llamada cifrada si el teléfono que se utiliza para realizar intromisión no está configurado para el cifrado. Cuando la intrusión falla en este caso, se reproduce un tono de reorden (ocupado rápido) en el teléfono cuando se inició la intrusión.

Si el teléfono del iniciador está configurado para el cifrado, el iniciador de la intrusión puede irrumpir en una llamada no segura desde el teléfono cifrado. Una vez que se produce la intrusión, Cisco Unified Communications Manager clasifica la llamada como no segura.

Si el teléfono del iniciador está configurado para el cifrado, el iniciador de la intrusión puede irrumpir en una llamada cifrada y el teléfono indica que la llamada está cifrada.

Seguridad WLAN

Dado que todos los dispositivos WLAN que están dentro del rango pueden recibir todo el resto del tráfico WLAN, proteger las comunicaciones de voz es fundamental en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura de seguridad SAFE de Cisco es compatible con el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de red inalámbrica que evita los inicios de sesión no autorizados y las comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono:

Autenticación abierta: Cualquier dispositivo inalámbrico puede solicitar la autenticación en un sistema abierto. El AP que recibe la solicitud puede otorgar autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no cifrarse.
Protocolo de autenticación extensible-Autenticación flexible a través de autenticación de túnel seguro (EAP-FAST): Esta arquitectura de seguridad cliente-servidor cifra las transacciones EAP dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como el motor de servicios de identidad (ISE).

El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona el PAC adecuado. El cliente (teléfono) devuelve un PAC-Opaque al servidor RADIUS. El servidor descifra el PAC con la clave principal. Ambos extremos ahora contienen la clave PAC y se crea un túnel TLS. EAP-FAST admite el aprovisionamiento automático de PAC, pero debe habilitarlo en el servidor RADIUS.

En ISE, de forma predeterminada, el PAC caduca en una semana. Si el teléfono tiene un PAC caducado, la autenticación con el servidor RADIUS tarda más tiempo mientras el teléfono obtiene un PAC nuevo. Para evitar demoras en el aprovisionamiento de PAC, establezca el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.
Autenticación extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. En el caso de EAP-TLS inalámbrico, el certificado de cliente puede ser MIC, LSC o certificado instalado por el usuario.
Protocolo de autenticación extensible protegido (PEAP): Esquema de autenticación mutua de propiedad de Cisco basado en contraseñas entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede utilizar PEAP para la autenticación con la red inalámbrica. Los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC son compatibles.
Clave compartida previamente (PSK): El teléfono admite el formato ASCII. Debe utilizar este formato al configurar una clave precompartida de WPA/WPA2/SAE:

ASCII: una cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas A-Z, y caracteres especiales)

Ejemplo: GREG123567@9ZX&W

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

wpa/wpa2/wpa3: Utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Debido a que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que las claves preseleccionadas de WPA que se almacenan en el AP y en el teléfono.
Itinerancia segura y rápida: Utiliza el servidor RADIUS y la información de un servidor de dominio inalámbrico (WDS) para administrar y autenticar claves. El WDS crea un caché de credenciales de seguridad para los dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Los teléfonos de escritorio Cisco 9861 y 9871 y el teléfono de vídeo Cisco 8875 son compatibles con 802.11r (FT). Se admiten tanto por el aire como por el DS para permitir una itinerancia segura y rápida. Sin embargo, recomendamos encarecidamente utilizar el método 802.11r (FT) por aire.

Con WPA/WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, pero se derivan automáticamente entre el AP y el teléfono. Pero en cada teléfono se deben ingresar el nombre de usuario y la contraseña de EAP que se utilizan para la autenticación.

Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES para el cifrado. Cuando se utilizan estos mecanismos para el cifrado, los paquetes SIP de señalización y los paquetes del Protocolo de transporte en tiempo real (RTP) de voz se cifran entre el AP y el teléfono.

tkip: WPA utiliza el cifrado TKIP que tiene varias mejoras sobre WEP. TKIP proporciona cifrado de claves por paquete y vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, una comprobación de integridad de mensajes (MIC) garantiza que los paquetes cifrados no se alteren. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave de WEP.
aes: Un método de cifrado utilizado para la autenticación WPA2/WPA3. Esta norma nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza cifrado de cadena de bloqueo de cifrado (CBC) de 128 bits, que admite tamaños de claves de 128 bits, 192 bits y 256 bits como mínimo. El teléfono admite un tamaño de clave de 256 bits.

Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 no son compatibles con el Protocolo de integridad de claves de Cisco (CKIP) con CMIC.

Los esquemas de autenticación y cifrado se establecen dentro de la LAN inalámbrica. Las VLAN se configuran en la red y en los AP y especifican diferentes combinaciones de autenticación y cifrado. Un SSID se asocia con una VLAN y con el esquema de autenticación y cifrado particular. Para que los dispositivos de cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

Cuando utiliza la clave precompartida WPA, la clave precompartida WPA2 o SAE, la clave precompartida debe estar configurada de forma estática en el teléfono. Estas teclas deben coincidir con las teclas que están en el AP.
El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para el modo EAP-TLS, debe especificarlo.

Los esquemas de autenticación y cifrado de la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración del AP.

Tabla 6. Esquemas de autenticación y cifrado
Tipo de FSR	Autenticación	Administración de claves	Cifrado	Marco de gestión protegido (PMF)
802.11r (FT)	PSK	wpa-psk wpa-psk-sha256 Categoría: Ft-psk	aes	No
802.11r (FT)	WPA3	aag f-sae	aes	Sí
802.11r (FT)	EAP-TLS	WPA-EAP Universidad Estatal de California	aes	No
802.11r (FT)	eap-tls (wpa3)	wpa-eap-sha256 Universidad Estatal de California	aes	Sí
802.11r (FT)	EAP-FAST	WPA-EAP Universidad Estatal de California	aes	No
802.11r (FT)	eap-fast (wpa3)	wpa-eap-sha256 Universidad Estatal de California	aes	Sí
802.11r (FT)	EAP-PEAP	WPA-EAP Universidad Estatal de California	aes	No
802.11r (FT)	eap-peap (wpa3)	wpa-eap-sha256 Universidad Estatal de California	aes	Sí

Configurar el perfil de LAN inalámbrica

Puede administrar su perfil de red inalámbrica mediante la configuración de credenciales, banda de frecuencia, método de autenticación, etc.

Tenga en cuenta las siguientes notas antes de configurar el perfil de WLAN:

Nombre de usuario y contraseña
- Cuando la red utiliza EAP-FAST y PEAP para la autenticación de usuarios, debe configurar tanto el nombre de usuario como la contraseña, si es necesario, en el Servicio de marcado para usuarios de autenticación remota (RADIUS) y el teléfono.
- Las credenciales que ingrese en el perfil de LAN inalámbrica deben ser idénticas a las que configuró en el servidor RADIUS.
- Si utiliza dominios dentro de su red, debe introducir el nombre de usuario con el nombre de dominio en el siguiente formato: dominio\nombre de usuario.
Las siguientes acciones podrían hacer que se borre la contraseña de Wi-Fi existente:
- Introducir un ID de usuario o contraseña no válidos
- Instalación de una CA raíz no válida o caducada cuando el tipo EAP está configurado en PEAP-MSCHAPV2 o PEAP-GTC
- Desactivación del tipo de EAP en uso en el servidor RADIUS antes de cambiar el teléfono al nuevo tipo de EAP
Para cambiar el tipo de EAP, asegúrese primero de habilitar el nuevo tipo de EAP en el servidor RADIUS y, a continuación, cambie el teléfono al tipo de EAP. Cuando todos los teléfonos se hayan cambiado al nuevo tipo de EAP, puede desactivar el tipo de EAP anterior si así lo desea.

1	En la administración de Cisco Unified Communications Manager, seleccione Dispositivo > Configuración del dispositivo > Perfil de LAN inalámbrica.
2	Elija el perfil de red que desea configurar.
3	Configure los parámetros.
4	Haga clic en Guardar.

Configurar los parámetros del SCEP

El Protocolo de inscripción de certificados simple (SCEP) es el estándar para el aprovisionamiento y la renovación automática de certificados. El servidor SCEP puede mantener automáticamente sus certificados de usuario y servidor.

Debe configurar los siguientes parámetros de SCEP en la página web del teléfono

Dirección IP de RA
Huella digital SHA-1 o SHA-256 del certificado de CA raíz para el servidor del SCEP

La autoridad de registro (RA) de Cisco IOS sirve como proxy para el servidor SCEP. El cliente SCEP del teléfono utiliza los parámetros que se descargan de Cisco Unified Communication Manager. Después de configurar los parámetros, el teléfono envía una solicitud SCEP getcs a la RA y el certificado de la CA raíz se valida con la huella digital definida.

Antes de comenzar

En el servidor SCEP, configure el Agente de registro (RA) del SCEP para que:

Actuar como punto de confianza PKI
Actuar como PKI RA
Autenticación de dispositivos mediante un servidor RADIUS

Para obtener más información, consulte la documentación del servidor SCEP.

1	En la administración de Cisco Unified Communications Manager, seleccione Dispositivo > Teléfono.
2	Busque el teléfono.
3	Desplácese hasta el área Diseño de configuración específica del producto .
4	Marque la casilla de verificación Servidor WLAN SCEP para activar el parámetro SCEP.
5	Marque la casilla de verificación Huella digital de CA raíz de WLAN (SHA256 o SHA1) para activar el parámetro SCEP QED.

Configurar las versiones compatibles de TLS

Puede configurar la versión mínima de TLS necesaria para el cliente y el servidor, respectivamente.

De forma predeterminada, la versión mínima de TLS del servidor y del cliente es 1.2. La configuración tiene impactos en las siguientes funciones:

Conexión de acceso web HTTPS
Incorporación para teléfono local
Incorporación para acceso móvil y remoto (MRA)
Servicios HTTPS, como los servicios de directorio
Seguridad de la capa de transporte de datagramas (DTLS)
Entidad de acceso al puerto (PAE)
Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS)

Para obtener más información acerca de la compatibilidad de TLS 1.3 para los teléfonos IP de Cisco, consulte Matriz de compatibilidad de TLS 1.3 para los productos de colaboración de Cisco.

1	Inicie sesión en la administración de Cisco Unified Communications Manager como administrador.
2	Navegue hasta una de las siguientes ventanas: Sistema > Configuración del teléfono empresarial Dispositivo > Configuración del dispositivo > Perfil de teléfono común Dispositivo > Teléfono > Configuración del teléfono
3	Configure el campo Versión mínima del cliente TLS : La opción "TLS 1.3" está disponible en Cisco Unified CM 15SU2 o versiones posteriores. TLS 1.1: El cliente TLS admite las versiones de TLS de la 1.1 a la 1.3. Si la versión de TLS en el servidor es inferior a 1.1, por ejemplo, 1.0, no se puede establecer la conexión. TLS 1.2 (predeterminado): El cliente TLS es compatible con TLS 1.2 y 1.3. Si la versión de TLS en el servidor es inferior a 1.2, por ejemplo, 1.1 o 1.0, no se puede establecer la conexión. TLS 1.3: El cliente TLS solo admite TLS 1.3. Si la versión de TLS en el servidor es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, no se puede establecer la conexión.
4	Configure el campo Versión mínima del servidor TLS : TLS 1.1: El servidor TLS admite las versiones de TLS de la 1.1 a la 1.3. Si la versión de TLS en el cliente es inferior a 1.1, por ejemplo, 1.0, no se puede establecer la conexión. TLS 1.2 (predeterminado): El servidor TLS es compatible con TLS 1.2 y 1.3. Si la versión de TLS en el cliente es inferior a 1.2, por ejemplo, 1.1 o 1.0, no se puede establecer la conexión. TLS 1.3: El servidor TLS solo admite TLS 1.3. Si la versión de TLS en el cliente es inferior a 1.3, por ejemplo, 1.2, 1.1 o 1.0, no se puede establecer la conexión. En la versión de PhoneOS 3.2, la configuración del campo "Deshabilitar TLS 1.0 y TLS 1.1 para el acceso web" no afecta a los teléfonos.
5	Haga clic en Guardar.
6	Haga clic en Aplicar configuración.
7	Reinicie los teléfonos.

SIP de servicios asegurados

Assured Services SIP (AS-SIP) es una colección de funciones y protocolos que ofrecen un flujo de llamadas altamente seguro para teléfonos IP de Cisco y teléfonos de terceros. Las siguientes características se conocen colectivamente como AS-SIP:

Prioridad multinivel (MLPP)
Punto de código de servicios diferenciados (DSCP)
Seguridad de la capa de transporte (TLS) y Protocolo de transporte seguro en tiempo real (SRTP)
Protocolo de Internet versión 6 (IPv6)

A menudo, AS-SIP se utiliza con prioridad multinivel (MLPP) para priorizar las llamadas durante una emergencia. Con MLPP, puede asignar un nivel de prioridad a sus llamadas salientes, del nivel 1 (bajo) al nivel 5 (alto). Cuando recibe una llamada, aparece un icono de nivel de precedencia en el teléfono que muestra la prioridad de llamada.

Para configurar AS-SIP, realice las siguientes tareas en Cisco Unified Communications Manager:

Configurar un usuario Digest: configure el usuario final para que utilice la autenticación digest para las solicitudes SIP.
Configurar el puerto seguro del teléfono SIP: Cisco Unified Communications Manager utiliza este puerto para escuchar teléfonos SIP para registros de líneas SIP a través de TLS.
Reiniciar servicios: después de configurar el puerto seguro, reinicie los servicios de Cisco Unified Communications Manager y Cisco CTL Provider. Configure un perfil de SIP para AS-SIP: configure un perfil de SIP con ajustes de SIP para sus extremos de AS-SIP y para sus enlaces troncales de SIP. Los parámetros específicos del teléfono no se descargan en un teléfono AS-SIP de terceros. Solo los utiliza Cisco Unified Manager. Los teléfonos de terceros deben configurar los mismos ajustes de forma local.
Configurar el perfil de seguridad del teléfono para AS-SIP: puede utilizar el perfil de seguridad del teléfono para asignar ajustes de seguridad como TLS, SRTP y autenticación implícita.
Configurar extremo de AS-SIP: configure un Teléfono IP de Cisco o un extremo de terceros con compatibilidad de AS-SIP.
Asociar dispositivo con usuario final: asocie el extremo con un usuario.
Configurar el perfil de seguridad del enlace troncal de SIP para AS-SIP: puede utilizar el perfil de seguridad del enlace troncal de SIP para asignar funciones de seguridad como TLS o autenticación implícita a un enlace troncal de SIP.
Configurar enlace troncal SIP para AS-SIP: configure un enlace troncal SIP con compatibilidad de AS-SIP.
Configurar funciones de AS-SIP: configure funciones adicionales de AS-SIP como MLPP, TLS, V.150 e IPv6.

Para obtener información detallada acerca de la configuración de AS-SIP, consulte el capítulo "Configurar extremos de AS-SIP" en la Guía de configuración de características para Cisco Unified Communications Manager.

Prioridad multinivel

La prioridad multinivel (MLPP) le permite priorizar las llamadas durante emergencias u otras situaciones de crisis. Puede asignar una prioridad a las llamadas salientes que van de 1 a 5. Las llamadas entrantes muestran un icono y la prioridad de llamada. Los usuarios autenticados pueden adelantar las llamadas a estaciones objetivo o a través de enlaces troncales TDM totalmente suscritos.

Esta capacidad garantiza al personal de alto rango la comunicación con las organizaciones y el personal críticos.

MLPP se utiliza a menudo con SIP de servicios asegurados (AS-SIP). Para obtener información detallada acerca de la configuración de MLPP, consulte el capítulo Configurar la precedencia y la prioridad multinivel en la Guía de configuración de características para Cisco Unified Communications Manager.

Configurar FAC y CMC

Cuando los códigos de autorización forzada (FAC) o los códigos de asunto de cliente (CMC), o ambos están configurados en el teléfono, los usuarios deben introducir las contraseñas necesarias para marcar un número.

Para obtener más información acerca de cómo configurar FAC y CMC en Cisco Unified Communications Manager, consulte el capítulo "Códigos de asunto de cliente y códigos de autorización forzada" en la Guía de configuración de características para Cisco Unified Communications Manager, versión 12.5(1) o posterior.

Gracias por sus comentarios.