Con el aprovisionamiento de los terminales telefónicos de dos pasos, NFON ofrece el último estándar de seguridad en la autenticación de uno de sus servicios más importantes. El aprovisionamiento de teléfonos es una parte crucial del servicio, como es la instalación y configuración del dispositivo. Este proceso maneja mucha información sensible como el nombre de los empleados, el historial de llamadas, los contactos de la agenda telefónica, así como todo lo necesario para hacer y recibir llamadas telefónicas. La seguridad de esta parte crucial del servicio de NFON es por lo tanto una de nuestras mayores prioridades.

Con la autenticación de dos factores, cada nuevo dispositivo certificado que se agregue a la plataforma NFON se sigue provisionando una vez que se conecta a Internet. Pero para configurar completamente el dispositivo y poder hacer y recibir llamadas telefónicas, se requiere un PIN especial, llamado "Phone Authentication PIN" (PAP). Se trata de un número de 6 dígitos que es único por cada ID (normalmente la dirección MAC)  de dispositivo y que se puede encontrar en el portal de administración. El proceso estándar para configurar nuevos teléfonos en el servicio NFON ahora requiere 5 pasos para completarlo:

1. Añada un nuevo dispositivo y anote el PAP para esa dirección MAC *.
2. Conecte el dispositivo a la red local o reinicie el dispositivo si ya estaba conectado
3. Espere a que el dispositivo muestre "authentication needed" en su pantalla
4. Descuelgue el terminal y en la mayoría de los dispositivos se conectará automaticamente con Servicio de autentificación. Si no es el caso, por favor, marque *89 o cualquier número.
5. Cuando sea requerido, introduzca el PAP de ese dispositivo, seguido de #
6. Espere a que el dispositivo se autentique y ya esté completamente operativo

*Una lista de terminales no autentificados, incluyendo la dirección MAC y el PAP de esos teléfonos, puede ser exportada como un archivo CSV.

Por comodidad y para acelerar la implementación, la autenticación a través de PAP no es necesaria en los tres escenarios siguientes:

• Para los dispositivos cuya autenticación se ha suspendido manualmente en el portal de administración durante 30 minutos
• Para los dispositivos de la red del cliente cuya dirección IP pública está en la lista blanca. Un aprovisionamiento satisfactorio (Yealink o Spectralink) pone automáticamente esta IP en la lista blanca durante 8 horas. Este período se prorroga automáticamente en cada aprovisionamiento (cada 4 a 6 horas).

Los nuevos dispositivos se crean el portal de administración de la misma manera que antes. Al crearse, el portal genera una PAP de 6 digitos. Este PAP es válido hasta que el dispositivo se haya aprovisionado completamente. Una vez autenticado con éxito, el PAP ya no es necesario.

Durante todo este proceso, el dispositivo puede estar en cualquiera de los siguientes tres estados de autenticación:

Cuando se ha añadido un nuevo dispositivo en el portal de administración, su estado es inicialmente "se necesita autenticación". En ese estado, la autenticación vía PAP es requerida si la dirección IP pública del teléfono no ha sido añadida a la lista blanca. Una vez que la autenticación se realiza con éxito, el estado pasa a ser "autenticación completada" (1). Una vez que la autenticación se realiza con éxito, el PAP ya no es necesario. En caso de que la autenticación haya fallado tres veces seguidas, el estado pasa automáticamente de "autenticación necesaria" a "autenticación fallida" (2). El estado volverá automáticamente a "autenticación necesaria" después de 30 minutos (3). Tras varios intentos de autenticación fallidos, el estado pasa a "autenticación bloqueada" (4), que bloquea permanentemente este teléfono de intentos de autenticación adicionales. En cualquiera de estos estados, el estado se puede restablecer manualmente a "autenticación necesaria" (5) restableciendo el PAP. Por lo tanto, el portal de administración proporciona dos acciones, que están disponibles en cualquier estado:

Una vez que se haya autenticado con éxito un dispositivo mediante el PAP, la plataforma NFON añadirá automáticamente la dirección IP pública de la red de la que recibió la solicitud de aprovisionamiento a una lista blanca temporal. La dirección IP permanecerá en la lista blanca por un período de 8 horas a partir de este momento. Si durante este período se suministran con éxito dispositivos nuevos o existentes, el período se amplía continuamente durante otras 8 horas. Este mecanismo tiene como objetivo simplificar el proceso de aprovisionamiento para nuevos clientes o sitios, o para cuando una dirección IP estática no está disponible o aún se conoce.

Cada dispositivo certificado que se agregue a la plataforma NFON será totalmente configurado una vez que se haya conectado a Internet. Pero sin una autenticación válida, el dispositivo no podrá hacer ni recibir llamadas telefónicas, excepto a los números de emergencia y al servicio de autenticación.

Esto se aplica a los dispositivos certificados seleccionados conectados a la Plataforma NFON, a menos que:

• El dispositivo ya ha completado la autenticación de dos factores utilizando PAP, no se ha restablecido a los valores por defecto de fábrica, o no ha perdido su configuración;
• La autenticación se ha suspendido manualmente durante 30 minutos a través del portal de administración;
• Otro dispositivo se ha autenticado satisfactoriamente utilizando PAP desde la misma dirección IP pública en las últimas 8 horas;
• The public IP address of the network has previously been set up as whitelisted on the admin portal

Una vez que el dispositivo certificado se conecta a la red y se enciende, sólo recibirá una configuración mínima del servicio de aprovisionamiento de NFON. En la pantalla del dispositivo aparecerá una indicación visual que dice "authentication needed" (se necesita autenticación). En este estado, sólo se podrán realizar llamadas a los números de emergencia y al servicio de autenticación. Para autenticar completamente el dispositivo, los usuarios deberán marcar *89, lo que iniciará una llamada al servicio de autenticación. Un mensaje de voz guiará al usuario a través del proceso y le pedirá que introduzca el PAP, seguido de la tecla hash (#). Las llamadas a cualquier otro destino (interno o externo, excepto a los números de emergencia) serán interceptadas y redirigidas al servicio de autenticación. Cuando el dispositivo lo permita, con sólo descolgar el auricular se iniciará automáticamente la llamada al servicio de autenticación.

Tan pronto como el dispositivo se haya autenticado con éxito mediante el PAP, la llamada terminará y el dispositivo recibirá su configuración completa del servicio de aprovisionamiento de NFON. Tenga en cuenta que el dispositivo tardará un cierto período de tiempo en reconfigurarse y estar completamente operativo.

En el caso de que el usuario haya proporcionado un PAP incorrecto tres veces seguidas para un dispositivo específico, el sistema prohibirá más intentos de autenticación de ese dispositivo durante un período de 30 minutos. En la pantalla del dispositivo aparecerá una indicación visual que dice "authentication failed" (autenticación fallida). El marcado *89 o cualquier otro número, con excepción de los números de emergencia, será interceptado y se reproducirá un anuncio informando al usuario que la autenticación de este dispositivo no es posible actualmente. Una vez transcurrido el período de 30 minutos, la pantalla del dispositivo se actualizará automáticamente para mostrar el mensaje "autenticación necesaria" y se podrán realizar más intentos de autenticación. Alternativamente, el dispositivo puede ser cambiado de nuevo al "modo de autenticación" manualmente a través del portal de administración.
En este estado, la autenticación de otros dispositivos en la misma red (desde la misma dirección IP pública) seguirá siendo posible. Una vez que se haya autentificado con éxito otro dispositivo en esta red, la dirección IP pública se incluirá en una lista blanca durante un período de 8 horas. El reinicio de los dispositivos que aún no han completado la autenticación, incluyéndolos en un estado de "autenticación fallida", permitirá el aprovisionamiento completo de estos dispositivos.

Para proporcionar al usuario el PAP correcto, es necesario conocer la dirección MAC de un dispositivo en particular. En la mayoría de los teléfonos, la dirección MAC se puede encontrar a través del menú en pantalla del propio dispositivo (en el mismo menú que la dirección IP). Cuando esté disponible, se puede acceder rápidamente a ella mediante una tecla programable mientras el dispositivo se encuentra en estado de "autenticación necesaria". En los dispositivos en los que esta opción no está disponible, o en los dispositivos que no tienen pantalla, la dirección MAC se puede encontrar normalmente en una etiqueta en el propio teléfono. La etiqueta se encuentra a menudo en la parte posterior o inferior del dispositivo y se imprimirá debajo de un código de barras. La dirección MAC es una secuencia de 12 dígitos hexadecimales (números y letras), a veces divididos en 6 grupos de 2 caracteres, separados por un guión o dos puntos. Por ejemplo

• 1a2b3c4d5e6f
• 1a:2b:3c:4d:5e:6f
• 1A-2B-3C-4D-5E-6F

En el caso de que la configuración del teléfono sea borrada, o el teléfono se restablezca a los valores por defecto de fábrica, el dispositivo perderá parte de la  información de autenticación que se requiere para que la plataforma NFON confirme completamente su identidad. En este caso, se debe generar un nuevo PAP y utilizarlo para autenticar el dispositivo de nuevo. La generación de un nuevo PAP se puede realizar en los ajustes del dispositivo utilizando el portal de administración.

Si se ha borrado y vuelto a crear un dispositivo en el portal de administración, o si se ha restablecido el PAP sin querer, la información de autenticación del teléfono, necesaria para que la plataforma NFON confirme completamente su identidad, ya no coincidirá con la información almacenada en el portal de administración. En este caso, el teléfono deberá ser restablecido a los valores de fábrica y luego autenticado con el nuevo PAP.

La documentación sobre cómo realizar un restablecimiento de los valores de fábrica (FDR) está disponible para la mayoría de los proveedores: