Tabla de contenido
Publicidad
Características de seguridad admitidas
Seguridad de WLAN
Dado que todos los dispositivos WLAN que se encuentran dentro de la cobertura pueden recibir todos el
tráfico de WLAN restante, asegurar las comunicaciones de voz resulta fundamental para las WLAN. Para
garantizar que cualquier intruso no pueda manipular ni interceptar el tráfico de voz, la arquitectura Cisco
SAFE Security es compatible con los puntos de acceso del teléfono IP de Cisco y de Cisco Aironet. Para
obtener más información sobre la seguridad en las redes, consulte
networking_solutions_program_home.html.
La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de la red inalámbrica que impide los
inicios de sesión no autorizados y las comunicaciones peligrosas mediante el uso de los siguientes métodos
de autenticación compatibles con el teléfono IP inalámbrico de Cisco:
• Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema
abierto. El punto de acceso que recibe la petición puede otorgar la autenticación a cualquier solicitante
o solo a los que se encuentren en una lista de usuarios. La comunicación entre el dispositivo inalámbrico
y el punto de acceso podría no estar cifrada o los dispositivos pueden usar claves WEP (Wired Equivalent
Privacy, privacidad equivalente a cableado) para proporcionar seguridad. Los dispositivos que usan
WEP solo intentan autenticarse con un punto de acceso que use WEP.
• Autenticación de protocolo de autenticación ampliable-autenticación flexible a través de túnel seguro
(EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra las transacciones EAP en un túnel de
seguridad de nivel de transporte (TLS) entre el punto de acceso y el servidor RADIUS, como el servidor
Access Control Server (ACS) de Cisco.
El túnel TLS usa credenciales de acceso protegidas (PAC) para la autenticación entre el cliente (el
teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (el teléfono), que
a su vez seleccione la PAC adecuada. El cliente (el teléfono) devuelve una PAC opaca al servidor
RADIUS. El servidor descifra la PAC con la clave maestra. Ambos terminales contienen ahora la clave
de PAC y se crea el túnel TLS. EAP-FAST admite el aprovisionamiento automático de la PAC, pero
hay que habilitarlo en el servidor RADIUS.
Nota
• Protocolo de autenticación ampliable protegido (PEAP): el esquema de autenticación mutua basada en
contraseña propiedad de Cisco entre el cliente (el teléfono) y un servidor RADIUS. El teléfono IP de
Cisco puede usar PEAP para la autenticación con la red inalámbrica. Se admiten ambos métodos de
autenticación: PEAP-MSCHAPV2 y PEAP-GTC.
Los esquemas de autenticación siguientes usan el servidor RADIUS para administrar las claves de autenticación:
• WPA/WPA2: usa la información del servidor RADIUS para generar claves únicas para la autenticación.
Dado que estas claves se generan en el servidor RADIUS centralizado, WPA/WPA2 proporciona más
seguridad que las claves precompartidas WPA almacenadas en el punto de acceso y el teléfono.
• Administración de claves centralizada de Cisco (CCKM): usa la información del servidor RADIUS y
de un servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea
una memoria caché de credenciales de seguridad para los dispositivos cliente habilitados para CCKM
Guía de administración de los teléfonos IP serie 8800 de Cisco para Cisco Unified Communications Manager
154
En Cisco ACS, de forma predeterminada, la PAC caduca en una semana. Si el teléfono
tiene una PAC caducada, la autenticación con el servidor RADIUS lleva más tiempo,
ya que el teléfono debe conseguir una PAC nueva. Para evitar retrasos por el
aprovisionamiento de la PAC, defina el período de caducidad de la PAC en 90 días o
más en los servidores ACS o RADIUS.
http://www.cisco.com/en/US/netsol/ns744/
Publicidad
Capítulos
Tabla de contenido
Solución de problemas
