Call Manager Cisco
Páginas: 38 (9306 palabras)
Publicado: 24 de junio de 2012
Capítulo
10
Prácticas recomendadas de seguridad de
Cisco Unified CallManager Express
Cisco Unified CallManager Express (Cisco Unified CME) ofrece comunicaciones IP integradas en los
routers Cisco IOS. Por lo tanto, también se aplican a Cisco Unified CME las mismas prácticas
recomendadas de seguridad de todos los routers Cisco IOS con habilitación de voz. Además, se deben
implementarlas prácticas recomendadas de Cisco Unified CME específicas del sistema para
proporcionar una protección de seguridad adicional.
Este capítulo describe cómo se puede configurar Cisco Unified CME mediante el CLI para evitar que
los usuarios obtengan, intencional o accidentalmente, el control a nivel del sistema desde la GUI o el
acceso local o remoto a la CLI. Las secciones específicas que sepresentan en este capítulo describen
las siguientes consideraciones de seguridad de Cisco Unified CME:
•
•
Uso de HTTPS para la administración GUI de Cisco Unified CME, página 10-2
•
Configuración de seguridad de acceso básico a Cisco Unified CME, página 10-3
•
Seguridad de Cisco Unified CME para telefonía IP, página 10-8
•
Cisco Unified CME con NAT y Firewall, página 10-13•
Seguridad de la señalización SCCP mediante TLS, página 10-19
•
Nota
Seguridad del acceso GUI, página 10-1
Puertos de uso común de Cisco Unified CME, página 10-23
Para obtener información adicional, consulte la sección “Documentos relacionados y referencias” en
la página xii.
Seguridad del acceso GUI
Un router Cisco IOS autentica el inicio de sesión CLI de un administradorúnicamente con respecto a
la contraseña, y la configuración predeterminada para el acceso HTTP es ip http authentication
enable. Si el administrador del sistema, el administrador del cliente o el usuario del teléfono tienen la
misma contraseña que la contraseña de habilitación del router, obtendrán acceso con el nivel de
privilegios 15 EXEC al software Cisco IOS a través de HTTP. Un usuarionormal de teléfono IP
podría entonces cambiar de forma accidental la configuración de Cisco Unified CME, borrar Flash o
recargar el router si inicia una sesión en esta dirección URL:
http://cme-ip-address/
Se deben configurar los siguientes comandos para que Cisco Unified CME utilice AAA o la
autenticación local, a fin de evitar que un usuario normal obtenga acceso a la contraseña dehabilitación y, de ese modo, acceda a la página del administrador del sistema:
Capítulo 10 Prácticas recomendadas de seguridad de Cisco Unified Call manager Express
ip http authentication aaa
o
ip http authentication local
Autenticación de la cuenta del administrador del sistema mediante AAA
Cisco Unified CME permite que el nombre de usuario/la contraseña del administrador del sistema seautentique mediante AAA. Use la siguiente configuración para utilizar AAA para el inicio de sesión
de usuario del administrador del sistema:
ip http authentication
aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host 10.1.2.3
Note
El nombre de usuario / la contraseña normal no se autentica mediante AAA.
Uso de HTTPS para la administración GUI de CiscoUnified CME
HTTP a través de SSL (HTTPS) ofrece compatibilidad con Secure Socket Layer (SSL) versión 3.0
para el servidor HTTP 1.1 y el cliente HTTP 1.1 en el software Cisco IOS. SSL proporciona
autenticación de servidor, cifrado e integridad de mensajes para obtener comunicaciones HTTP
seguras. SSL también ofrece autenticación de cliente HTTP. Esta característica sólo se admite en las
imágenesdel software Cisco IOS que incluyen la función SSL. En concreto, SSL se admite en las
imágenes Advanced Security, Advanced IP Services y Advanced Enterprise Services. Use las
imágenes de Cisco IOS Advanced IP Services o Advanced Enterprise Services para disponer de las
características Cisco Unified CME y SSL.
Los teléfonos IP no sirven como clientes HTTPS. Si se habilita HTTPS en el router...
10
Prácticas recomendadas de seguridad de
Cisco Unified CallManager Express
Cisco Unified CallManager Express (Cisco Unified CME) ofrece comunicaciones IP integradas en los
routers Cisco IOS. Por lo tanto, también se aplican a Cisco Unified CME las mismas prácticas
recomendadas de seguridad de todos los routers Cisco IOS con habilitación de voz. Además, se deben
implementarlas prácticas recomendadas de Cisco Unified CME específicas del sistema para
proporcionar una protección de seguridad adicional.
Este capítulo describe cómo se puede configurar Cisco Unified CME mediante el CLI para evitar que
los usuarios obtengan, intencional o accidentalmente, el control a nivel del sistema desde la GUI o el
acceso local o remoto a la CLI. Las secciones específicas que sepresentan en este capítulo describen
las siguientes consideraciones de seguridad de Cisco Unified CME:
•
•
Uso de HTTPS para la administración GUI de Cisco Unified CME, página 10-2
•
Configuración de seguridad de acceso básico a Cisco Unified CME, página 10-3
•
Seguridad de Cisco Unified CME para telefonía IP, página 10-8
•
Cisco Unified CME con NAT y Firewall, página 10-13•
Seguridad de la señalización SCCP mediante TLS, página 10-19
•
Nota
Seguridad del acceso GUI, página 10-1
Puertos de uso común de Cisco Unified CME, página 10-23
Para obtener información adicional, consulte la sección “Documentos relacionados y referencias” en
la página xii.
Seguridad del acceso GUI
Un router Cisco IOS autentica el inicio de sesión CLI de un administradorúnicamente con respecto a
la contraseña, y la configuración predeterminada para el acceso HTTP es ip http authentication
enable. Si el administrador del sistema, el administrador del cliente o el usuario del teléfono tienen la
misma contraseña que la contraseña de habilitación del router, obtendrán acceso con el nivel de
privilegios 15 EXEC al software Cisco IOS a través de HTTP. Un usuarionormal de teléfono IP
podría entonces cambiar de forma accidental la configuración de Cisco Unified CME, borrar Flash o
recargar el router si inicia una sesión en esta dirección URL:
http://cme-ip-address/
Se deben configurar los siguientes comandos para que Cisco Unified CME utilice AAA o la
autenticación local, a fin de evitar que un usuario normal obtenga acceso a la contraseña dehabilitación y, de ese modo, acceda a la página del administrador del sistema:
Capítulo 10 Prácticas recomendadas de seguridad de Cisco Unified Call manager Express
ip http authentication aaa
o
ip http authentication local
Autenticación de la cuenta del administrador del sistema mediante AAA
Cisco Unified CME permite que el nombre de usuario/la contraseña del administrador del sistema seautentique mediante AAA. Use la siguiente configuración para utilizar AAA para el inicio de sesión
de usuario del administrador del sistema:
ip http authentication
aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host 10.1.2.3
Note
El nombre de usuario / la contraseña normal no se autentica mediante AAA.
Uso de HTTPS para la administración GUI de CiscoUnified CME
HTTP a través de SSL (HTTPS) ofrece compatibilidad con Secure Socket Layer (SSL) versión 3.0
para el servidor HTTP 1.1 y el cliente HTTP 1.1 en el software Cisco IOS. SSL proporciona
autenticación de servidor, cifrado e integridad de mensajes para obtener comunicaciones HTTP
seguras. SSL también ofrece autenticación de cliente HTTP. Esta característica sólo se admite en las
imágenesdel software Cisco IOS que incluyen la función SSL. En concreto, SSL se admite en las
imágenes Advanced Security, Advanced IP Services y Advanced Enterprise Services. Use las
imágenes de Cisco IOS Advanced IP Services o Advanced Enterprise Services para disponer de las
características Cisco Unified CME y SSL.
Los teléfonos IP no sirven como clientes HTTPS. Si se habilita HTTPS en el router...
Leer documento completo
Regístrate para leer el documento completo.