Jump to:
Con el aprovisionamiento de los terminales telefónicos de dos pasos, NFON ofrece el último estándar de seguridad en la autenticación de uno de sus servicios más importantes. El aprovisionamiento de teléfonos es una parte crucial del servicio, como es la instalación y configuración del dispositivo. Este proceso maneja mucha información sensible como el nombre de los empleados, el historial de llamadas, los contactos de la agenda telefónica, así como todo lo necesario para hacer y recibir llamadas telefónicas. La seguridad de esta parte crucial del servicio de NFON es por lo tanto una de nuestras mayores prioridades.
Proceso de provisionamiento standard
Con la autenticación de dos factores, cada nuevo dispositivo certificado que se agregue a la plataforma NFON se sigue provisionando una vez que se conecta a Internet. Pero para configurar completamente el dispositivo y poder hacer y recibir llamadas telefónicas, se requiere un PIN especial, llamado "Phone Authentication PIN" (PAP). Se trata de un número de 6 dígitos que es único por cada ID (normalmente la dirección MAC) de dispositivo y que se puede encontrar en el portal de administración. El proceso estándar para configurar nuevos teléfonos en el servicio NFON ahora requiere 5 pasos para completarlo:
Provisionamiento de nuevos terminales
- Añada un nuevo dispositivo y anote el PAP para esa dirección MAC *.
- Conecte el dispositivo a la red local o reinicie el dispositivo si ya estaba conectado
- Espere a que el dispositivo muestre "authentication needed" en su pantalla
- Descuelgue el terminal y en la mayoría de los dispositivos se conectará automaticamente con Servicio de autentificación. Si no es el caso, por favor, marque *89 o cualquier número.
- Cuando sea requerido, introduzca el PAP de ese dispositivo, seguido de #
- Espere a que el dispositivo se autentique y ya esté completamente operativo
*Una lista de terminales no autentificados, incluyendo la dirección MAC y el PAP de esos teléfonos, puede ser exportada como un archivo CSV.
Los siguientes dispositivos admiten la autenticación de 2 factores:
| Vendedor | Serie |
| Yealink | T19 T4G T4S T4U T5 DECT (W60B, W70B, W80B, W90B) CP Serie |
| Cisco | SPA112 191 |
| Patton | SN Serie |
| Linksys | PAP 2 SPA 2102 |
Como realizar implementaciones más rápidas
Por comodidad y para acelerar la implementación, la autenticación a través de PAP no es necesaria en los tres escenarios siguientes:
- Para los dispositivos cuya autenticación se ha suspendido manualmente en el portal de administración durante 30 minutos
- Para los dispositivos de la red del cliente cuya dirección IP pública está en la lista blanca. Un aprovisionamiento satisfactorio (Yealink o Spectralink) pone automáticamente esta IP en la lista blanca durante 8 horas. Este período se prorroga automáticamente en cada aprovisionamiento (cada 4 a 6 horas).
En muchos casos, si no en la mayoría, la autenticación PAP solo se requerirá una vez y en algunos casos, en ninguno.
Para autenticar el teléfono durante su aprovisionamiento inicial, se requiere un "PIN de autenticación de teléfono" (PAP) especial para proporcionar una autenticación de dos factores para el dispositivo. Este PAP se obtiene del portal de administración en la configuración del dispositivo.
Configuración de los teléfonos
Los nuevos dispositivos se crean el portal de administración de la misma manera que antes. Al crearse, el portal genera una PAP de 6 digitos. Este PAP es válido hasta que el dispositivo se haya aprovisionado completamente. Una vez autenticado con éxito, el PAP ya no es necesario.
Durante todo este proceso, el dispositivo puede estar en cualquiera de los siguientes tres estados de autenticación:
| Estatus | Descripción |
| Authentication needed "se necesita autenticación" | El teléfono se ha configurado mínimamente pero aún no se ha autenticado con éxito |
| Authentication failed “Autenticación fallida” | El teléfono está temporalmente bloqueado para la autenticación y no aceptará ningún PAP |
| Authentication blocked “Autenticación bloqueada” | El teléfono está permanentemente bloqueado para la autenticación y no aceptará ningún PAP |
| Authentication successful “Autenticación completada” | El teléfono ha sido autenticado con éxito y completamente aprovisionado |
Cuando se ha añadido un nuevo dispositivo en el portal de administración, su estado es inicialmente "se necesita autenticación". En ese estado, la autenticación vía PAP es requerida si la dirección IP pública del teléfono no ha sido añadida a la lista blanca. Una vez que la autenticación se realiza con éxito, el estado pasa a ser "autenticación completada" (1). Una vez que la autenticación se realiza con éxito, el PAP ya no es necesario. En caso de que la autenticación haya fallado tres veces seguidas, el estado pasa automáticamente de "autenticación necesaria" a "autenticación fallida" (2). El estado volverá automáticamente a "autenticación necesaria" después de 30 minutos (3). Tras varios intentos de autenticación fallidos, el estado pasa a "autenticación bloqueada" (4), que bloquea permanentemente este teléfono de intentos de autenticación adicionales. En cualquiera de estos estados, el estado se puede restablecer manualmente a "autenticación necesaria" (5) restableciendo el PAP. Por lo tanto, el portal de administración proporciona dos acciones, que están disponibles en cualquier estado:
| Acción | Descripción |
| Suspender autentación | Deshabilitar explícitamente cualquier intento de autenticación para el dispositivo en particular durante 30 minutos. |
| Reset Authentication | Invalida la autenticación actual e inmediatamente genera un nuevo PAP. |
Si el dispositivo pierde su configuración o se ha restablecido a los valores de fábrica, se debe ejecutar la acción de autenticación de restablecimiento para generar un nuevo PAP y volver a autenticar el dispositivo.
Lista blanca de IPs
Lista Blanca Permanente
En el caso de los dispositivos que se van a operar desde una ubicación que utiliza una dirección IP pública estática, es posible incluir la IP pública en una lista blanca (como de confianza) en el portal de administración. La plataforma NFON ya no requerirá la autenticación mediante el PAP para todas las solicitudes de aprovisionamiento que provengan de esa dirección IP. La lista blanca acepta tanto direcciones IPv4 únicas (xxx.xxx.xxx.xxx) como rangos de IP en notación CIDR (xxx.xxx.xxx.xxx./yyyy). Se puede configurar en el portal de administración "Administración" > "Cliente" > "Ajustes técnicos".
Lista Blanca Temporal
Una vez que se haya autenticado con éxito un dispositivo mediante el PAP, la plataforma NFON añadirá automáticamente la dirección IP pública de la red de la que recibió la solicitud de aprovisionamiento a una lista blanca temporal. La dirección IP permanecerá en la lista blanca por un período de 8 horas a partir de este momento. Si durante este período se suministran con éxito dispositivos nuevos o existentes, el período se amplía continuamente durante otras 8 horas. Este mecanismo tiene como objetivo simplificar el proceso de aprovisionamiento para nuevos clientes o sitios, o para cuando una dirección IP estática no está disponible o aún se conoce.
CSV Export
Es posible exportar una lista de todos los dispositivos desde el portal de administración, como un archivo CSV. Este archivo contiene el proveedor, el tipo, la dirección MAC, la fecha de creación, el sitio y el estado de autenticación. En caso de que el dispositivo no se haya autentificado todavía con éxito, el archivo también contiene el PAP de ese dispositivo. Esto se realiza en el portal de administración "Administración" > "Importación/Exportación de archivos".
Cada dispositivo certificado que se agregue a la plataforma NFON será totalmente configurado una vez que se haya conectado a Internet. Pero sin una autenticación válida, el dispositivo no podrá hacer ni recibir llamadas telefónicas, excepto a los números de emergencia y al servicio de autenticación.
Esto se aplica a los dispositivos certificados seleccionados conectados a la Plataforma NFON, a menos que:
- El dispositivo ya ha completado la autenticación de dos factores utilizando PAP, no se ha restablecido a los valores por defecto de fábrica, o no ha perdido su configuración;
- La autenticación se ha suspendido manualmente durante 30 minutos a través del portal de administración;
- Otro dispositivo se ha autenticado satisfactoriamente utilizando PAP desde la misma dirección IP pública en las últimas 8 horas;
- The public IP address of the network has previously been set up as whitelisted on the admin portal
Modo de Autenticación
Una vez que el dispositivo certificado se conecta a la red y se enciende, sólo recibirá una configuración mínima del servicio de aprovisionamiento de NFON. En la pantalla del dispositivo aparecerá una indicación visual que dice "authentication needed" (se necesita autenticación). En este estado, sólo se podrán realizar llamadas a los números de emergencia y al servicio de autenticación. Para autenticar completamente el dispositivo, los usuarios deberán marcar *89, lo que iniciará una llamada al servicio de autenticación. Un mensaje de voz guiará al usuario a través del proceso y le pedirá que introduzca el PAP, seguido de la tecla hash (#). Las llamadas a cualquier otro destino (interno o externo, excepto a los números de emergencia) serán interceptadas y redirigidas al servicio de autenticación. Cuando el dispositivo lo permita, con sólo descolgar el auricular se iniciará automáticamente la llamada al servicio de autenticación.
Tan pronto como el dispositivo se haya autenticado con éxito mediante el PAP, la llamada terminará y el dispositivo recibirá su configuración completa del servicio de aprovisionamiento de NFON. Tenga en cuenta que el dispositivo tardará un cierto período de tiempo en reconfigurarse y estar completamente operativo.
Autenticacion Fallida
En el caso de que el usuario haya proporcionado un PAP incorrecto tres veces seguidas para un dispositivo específico, el sistema prohibirá más intentos de autenticación de ese dispositivo durante un período de 30 minutos. En la pantalla del dispositivo aparecerá una indicación visual que dice "authentication failed" (autenticación fallida). El marcado *89 o cualquier otro número, con excepción de los números de emergencia, será interceptado y se reproducirá un anuncio informando al usuario que la autenticación de este dispositivo no es posible actualmente. Una vez transcurrido el período de 30 minutos, la pantalla del dispositivo se actualizará automáticamente para mostrar el mensaje "autenticación necesaria" y se podrán realizar más intentos de autenticación. Alternativamente, el dispositivo puede ser cambiado de nuevo al "modo de autenticación" manualmente a través del portal de administración.
En este estado, la autenticación de otros dispositivos en la misma red (desde la misma dirección IP pública) seguirá siendo posible. Una vez que se haya autentificado con éxito otro dispositivo en esta red, la dirección IP pública se incluirá en una lista blanca durante un período de 8 horas. El reinicio de los dispositivos que aún no han completado la autenticación, incluyéndolos en un estado de "autenticación fallida", permitirá el aprovisionamiento completo de estos dispositivos.
Para proporcionar al usuario el PAP correcto, es necesario conocer la dirección MAC de un dispositivo en particular. En la mayoría de los teléfonos, la dirección MAC se puede encontrar a través del menú en pantalla del propio dispositivo (en el mismo menú que la dirección IP). Cuando esté disponible, se puede acceder rápidamente a ella mediante una tecla programable mientras el dispositivo se encuentra en estado de "autenticación necesaria". En los dispositivos en los que esta opción no está disponible, o en los dispositivos que no tienen pantalla, la dirección MAC se puede encontrar normalmente en una etiqueta en el propio teléfono. La etiqueta se encuentra a menudo en la parte posterior o inferior del dispositivo y se imprimirá debajo de un código de barras. La dirección MAC es una secuencia de 12 dígitos hexadecimales (números y letras), a veces divididos en 6 grupos de 2 caracteres, separados por un guión o dos puntos. Por ejemplo
- 1a2b3c4d5e6f
- 1a:2b:3c:4d:5e:6f
- 1A-2B-3C-4D-5E-6F
| Fabricante | Manual | Ejemplo de la posición de la dirección MAC en el dispositivo |
| Yealink | Yealink T19P E2, T41P, T42G, T46G, T48G, T41S, T42S, T46S, T48S, T52S, T54S, T53, T53W, T54W, T57W manual |  |
| snom | snom D305, D315, D345, D375, D385 manual |  |
| Poly |  | |
| Panasonic |  | |
| Gigaset |  | |
| Patton |  | |
| SPA112 |  |
En el caso de que la configuración del teléfono sea borrada, o el teléfono se restablezca a los valores por defecto de fábrica, el dispositivo perderá parte de la información de autenticación que se requiere para que la plataforma NFON confirme completamente su identidad. En este caso, se debe generar un nuevo PAP y utilizarlo para autenticar el dispositivo de nuevo. La generación de un nuevo PAP se puede realizar en los ajustes del dispositivo utilizando el portal de administración.
Si se ha borrado y vuelto a crear un dispositivo en el portal de administración, o si se ha restablecido el PAP sin querer, la información de autenticación del teléfono, necesaria para que la plataforma NFON confirme completamente su identidad, ya no coincidirá con la información almacenada en el portal de administración. En este caso, el teléfono deberá ser restablecido a los valores de fábrica y luego autenticado con el nuevo PAP.
La documentación sobre cómo realizar un restablecimiento de los valores de fábrica (FDR) está disponible para la mayoría de los proveedores: