Cisco Cisco IP Phone 8841 Betriebsanweisung
• Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema
abierto. El punto de acceso que recibe la petición puede otorgar la autenticación a cualquier solicitante
o solo a los que se encuentren en una lista de usuarios. La comunicación entre el dispositivo inalámbrico
y el punto de acceso podría no estar cifrada o los dispositivos pueden usar claves WEP (Wired Equivalent
Privacy, privacidad equivalente a cableado) para proporcionar seguridad. Los dispositivos que usan
WEP solo intentan autenticarse con un punto de acceso que use WEP.
o solo a los que se encuentren en una lista de usuarios. La comunicación entre el dispositivo inalámbrico
y el punto de acceso podría no estar cifrada o los dispositivos pueden usar claves WEP (Wired Equivalent
Privacy, privacidad equivalente a cableado) para proporcionar seguridad. Los dispositivos que usan
WEP solo intentan autenticarse con un punto de acceso que use WEP.
• Autenticación de protocolo de autenticación ampliable-autenticación flexible a través de túnel seguro
(EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra las transacciones EAP en un túnel de
seguridad de nivel de transporte (TLS) entre el punto de acceso y el servidor RADIUS, como el servidor
Access Control Server (ACS) de Cisco.
seguridad de nivel de transporte (TLS) entre el punto de acceso y el servidor RADIUS, como el servidor
Access Control Server (ACS) de Cisco.
El túnel TLS usa credenciales de acceso protegidas (PAC) para la autenticación entre el cliente (el
teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (el teléfono), que
a su vez seleccione la PAC adecuada. El cliente (el teléfono) devuelve una PAC opaca al servidor
RADIUS. El servidor descifra la PAC con la clave maestra. Ambos terminales contienen ahora la clave
de PAC y se crea el túnel TLS. EAP-FAST admite el aprovisionamiento automático de la PAC, pero
hay que habilitarlo en el servidor RADIUS.
teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (el teléfono), que
a su vez seleccione la PAC adecuada. El cliente (el teléfono) devuelve una PAC opaca al servidor
RADIUS. El servidor descifra la PAC con la clave maestra. Ambos terminales contienen ahora la clave
de PAC y se crea el túnel TLS. EAP-FAST admite el aprovisionamiento automático de la PAC, pero
hay que habilitarlo en el servidor RADIUS.
En Cisco ACS, de forma predeterminada, la PAC caduca en una semana. Si el teléfono
tiene una PAC caducada, la autenticación con el servidor RADIUS lleva más tiempo,
ya que el teléfono debe conseguir una PAC nueva. Para evitar retrasos por el
aprovisionamiento de la PAC, defina el período de caducidad de la PAC en 90 días o
más en los servidores ACS o RADIUS.
tiene una PAC caducada, la autenticación con el servidor RADIUS lleva más tiempo,
ya que el teléfono debe conseguir una PAC nueva. Para evitar retrasos por el
aprovisionamiento de la PAC, defina el período de caducidad de la PAC en 90 días o
más en los servidores ACS o RADIUS.
Nota
• Protocolo de autenticación ampliable protegido (PEAP): el esquema de autenticación mutua basada en
contraseña propiedad de Cisco entre el cliente (el teléfono) y un servidor RADIUS. El teléfono IP de
Cisco puede usar PEAP para la autenticación con la red inalámbrica. Se admiten ambos métodos de
autenticación: PEAP-MSCHAPV2 y PEAP-GTC.
Cisco puede usar PEAP para la autenticación con la red inalámbrica. Se admiten ambos métodos de
autenticación: PEAP-MSCHAPV2 y PEAP-GTC.
Los esquemas de autenticación siguientes usan el servidor RADIUS para administrar las claves de autenticación:
• WPA/WPA2: usa la información del servidor RADIUS para generar claves únicas para la autenticación.
Dado que estas claves se generan en el servidor RADIUS centralizado, WPA/WPA2 proporciona más
seguridad que las claves precompartidas WPA almacenadas en el punto de acceso y el teléfono.
seguridad que las claves precompartidas WPA almacenadas en el punto de acceso y el teléfono.
• Administración de claves centralizada de Cisco (CCKM): usa la información del servidor RADIUS y
de un servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea
una memoria caché de credenciales de seguridad para los dispositivos cliente habilitados para CCKM
a fin de conseguir una reautenticación rápida y segura. Los teléfonos IP serie 8800 de Cisco admiten
802.11r (FT).
una memoria caché de credenciales de seguridad para los dispositivos cliente habilitados para CCKM
a fin de conseguir una reautenticación rápida y segura. Los teléfonos IP serie 8800 de Cisco admiten
802.11r (FT).
Con WPA/WPA2 y CCKM, las claves de cifrado no se introducen en el teléfono, sino que se derivan
automáticamente entre el punto de acceso y el teléfono. Pero es preciso introducir el nombre de usuario y la
contraseña de EAP que se usan para la autenticación en todos los teléfonos.
automáticamente entre el punto de acceso y el teléfono. Pero es preciso introducir el nombre de usuario y la
contraseña de EAP que se usan para la autenticación en todos los teléfonos.
Para garantizar que el tráfico de voz sea seguro, el teléfono IP de Cisco admite WEP, TKIP y los estándares
de cifrado avanzados (AES) para el cifrado. Si estos mecanismos se usan para el cifrado, tanto los paquetes
SIP de señalización como los paquetes del protocolo de transporte en tiempo real (RTP) se cifran entre el
punto de acceso y el teléfono IP de Cisco.
de cifrado avanzados (AES) para el cifrado. Si estos mecanismos se usan para el cifrado, tanto los paquetes
SIP de señalización como los paquetes del protocolo de transporte en tiempo real (RTP) se cifran entre el
punto de acceso y el teléfono IP de Cisco.
Guía de administración de los teléfonos IP serie 8800 de Cisco
151
Características de seguridad admitidas