Captulo

10

Prcticas recomendadas de seguridad de Cisco Unified CallManager Express

Cisco Unified CallManager Express (Cisco Unified CME) ofrece comunicaciones IP integradas en los routers Cisco IOS. Por lo tanto, tambin se aplican a Cisco Unified CME las mismas prcticas recomendadas de seguridad de todos los routers Cisco IOS con habilitacin de voz. Adems, se deben implementar las prcticas recomendadas de Cisco Unified CME especficas del sistema para proporcionar una proteccin de seguridad adicional. Este captulo describe cmo se puede configurar Cisco Unified CME mediante el CLI para evitar que los usuarios obtengan, intencional o accidentalmente, el control a nivel del sistema desde la GUI o el acceso local o remoto a la CLI. Las secciones especficas que se presentan en este captulo describen las siguientes consideraciones de seguridad de Cisco Unified CME: Seguridad del acceso GUI, pgina 10-1 Uso de HTTPS para la administracin GUI de Cisco Unified CME, pgina 10-2 Configuracin de seguridad de acceso bsico a Cisco Unified CME, pgina 10-3 Seguridad de Cisco Unified CME para telefona IP, pgina 10-8 Cisco Unified CME con NAT y Firewall, pgina 10-13 Seguridad de la sealizacin SCCP mediante TLS, pgina 10-19 Puertos de uso comn de Cisco Unified CME, pgina 10-23

Nota

Para obtener informacin adicional, consulte la seccin Documentos relacionados y referencias en la pgina xii.

Seguridad del acceso GUI

Un router Cisco IOS autentica el inicio de sesin CLI de un administrador nicamente con respecto a la contrasea, y la configuracin predeterminada para el acceso HTTP es ip http authentication enable. Si el administrador del sistema, el administrador del cliente o el usuario del telfono tienen la misma contrasea que la contrasea de habilitacin del router, obtendrn acceso con el nivel de privilegios 15 EXEC al software Cisco IOS a travs de HTTP. Un usuario normal de telfono IP podra entonces cambiar de forma accidental la configuracin de Cisco Unified CME, borrar Flash o recargar el router si inicia una sesin en esta direccin URL: http://cme-ip-address/ Se deben configurar los siguientes comandos para que Cisco Unified CME utilice AAA o la autenticacin local, a fin de evitar que un usuario normal obtenga acceso a la contrasea de habilitacin y, de ese modo, acceda a la pgina del administrador del sistema:

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

ip http authentication aaa o ip http authentication local

Autenticacin de la cuenta del administrador del sistema mediante AAA

Cisco Unified CME permite que el nombre de usuario/la contrasea del administrador del sistema se autentique mediante AAA. Use la siguiente configuracin para utilizar AAA para el inicio de sesin de usuario del administrador del sistema:
ip http authentication aaa new-model aaa authentication login default group tacacs+ local tacacs-server host 10.1.2.3

Note

El nombre de usuario / la contrasea normal no se autentica mediante AAA.

Uso de HTTPS para la administracin GUI de Cisco Unified CME

HTTP a travs de SSL (HTTPS) ofrece compatibilidad con Secure Socket Layer (SSL) versin 3.0 para el servidor HTTP 1.1 y el cliente HTTP 1.1 en el software Cisco IOS. SSL proporciona autenticacin de servidor, cifrado e integridad de mensajes para obtener comunicaciones HTTP seguras. SSL tambin ofrece autenticacin de cliente HTTP. Esta caracterstica slo se admite en las imgenes del software Cisco IOS que incluyen la funcin SSL. En concreto, SSL se admite en las imgenes Advanced Security, Advanced IP Services y Advanced Enterprise Services. Use las imgenes de Cisco IOS Advanced IP Services o Advanced Enterprise Services para disponer de las caractersticas Cisco Unified CME y SSL. Los telfonos IP no sirven como clientes HTTPS. Si se habilita HTTPS en el router Cisco Unified CME, los telfonos IP seguirn intentando conectarse a HTTP a travs del puerto 80. Debido a que el puerto predeterminado SSL es 443, los telfonos no pueden mostrar el directorio local ni la marcacin rpida del sistema. Los telfonos IP que usan HTTP pueden funcionar con un sistema configurado para SSL habilitando tanto HTTP como HTTPS, como se muestra en el siguiente ejemplo.
ip http server ip http secure-server ip http secure-port port_number !if https port is changed from default 443 ip http authentication AAA | TACACS | local

Use el siguiente comando para generar una pareja de claves de uso RSA con una longitud de 1024 bits o superior: crypto key generate rsa usage 1024 Si no se genera una pareja de claves de uso RSA, se generar automticamente una pareja de claves de uso RSA de 768 bits cuando se conecte por primera vez al servidor HTTPS. Estas claves RSA de generacin automtica no se guardan en la configuracin de inicio; por lo tanto, se perdern cuando se reinicie el dispositivo, a menos que se guarde manualmente la configuracin. Debe obtener un certificado digital X.509 con capacidades de firma digital para el dispositivo de una autoridad de certificacin (CA). Si no obtiene previamente un certificado digital, el dispositivo crea un certificado digital autofirmado para autenticarse a s mismo. Si se cambia el nombre de host del dispositivo despus de obtener un certificado digital de dispositivo, se obtendr un error en las conexiones HTTPS al dispositivo ya que el nombre de host no coincidir con el nombre especificado en el certificado digital. Para resolver este problema, obtenga un nuevo certificado de dispositivo utilizando un nuevo nombre de host.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-2
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

El comando ip http secure-server impide que las contraseas no cifradas viajen a travs de la red cuando un administrador de Cisco Unified CME inicia una sesin en la GUI de Cisco Unified CME. Sin embargo, las comunicaciones entre el telfono y el router permanecen sin cifrar. Los siguientes puntos son prcticas recomendadas para el uso del acceso interactivo HTTP al router Cisco Unified CME: Use el comando ip http access-class para permitir que slo determinadas direcciones IP puedan obtener acceso a la GUI de Cisco Unified CME, de esta forma se restringir la conexin de paquetes IP no deseados a Cisco Unified CME. Use el comando ip http authentication con un servidor central TACACS+ o RADIUS a efectos de autenticacin. La configuracin de autenticacin para los servidores HTTP y HTTPS agrega seguridad a la comunicacin entre los clientes y los servidores HTTP y HTTPS en el dispositivo. No use la contrasea de habilitacin en el router como una contrasea de inicio de sesin a Cisco Unified CME (a fin de evitar que un usuario normal pueda obtener privilegios de administrador).

Configuracin de seguridad de acceso bsico a Cisco Unified CME

Esta seccin resume las medidas disponibles para asegurarse de que slo usuarios y sistemas autorizados puedan tener acceso a los recursos basados en el sistema de Cisco Unified CME. En esta seccin se describen los siguientes temas: Configuracin del acceso local y remoto al sistema, pgina 10-3 Restriccin del acceso tty, pgina 10-5 Configuracin del acceso SSH, pgina 10-5 Uso de las ACL para el acceso SNMP, pgina 10-5 Deshabilitacin del protocolo CDP (Cisco Discovery Protocol), pgina 10-6 Configuracin de COR para llamadas entrantes y salientes, pgina 10-6 Restriccin de patrones de llamadas salientes, pgina 10-8

Configuracin del acceso local y remoto al sistema

En el modo de privilegios EXEC, los comandos configure terminal y telephony-service llevan a un usuario al modo de configuracin de Cisco Unified CME. Los comandos show running-config y show telephony-service muestran todos los telfonos y usuarios registrados, nmeros de extensiones y contraseas para el acceso GUI de Cisco Unified CME. Un paso inicial para el control de la seguridad se encuentra en el nivel de acceso al sistema. El cifrado de contrasea, la autenticacin de usuario y la auditora de comandos son todos factores cruciales para evitar las brechas de seguridad.

Habilitacin de contraseas cifradas y secretas

La contrasea de habilitacin se presenta sin cifrado para proporcionar control de acceso al modo de privilegios EXEC del router. Use Enable Secret para cifrar la contrasea de habilitacin. El siguiente ejemplo ilustra esta configuracin:
enable secret secretword1 no enable password

El comando enable secret tiene precedencia sobre el comando enable password si ambos estn configurados; no se pueden utilizar de forma simultnea.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-3
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Para incrementar la seguridad del acceso, las contraseas se deben cifrar para evitar que usuarios no autorizados puedan ver las contraseas cuando los paquetes se examinan mediante analizadores de protocolos: El siguiente ejemplo ilustra esta configuracin:
Service password-encryption

Creacin de varios niveles de privilegio

De forma predeterminada, el software Cisco IOS tiene dos niveles de acceso a los comandos: el modo de usuario EXEC (nivel 1) y el modo de privilegios EXEC (nivel 15). Pueden configurarse hasta 16 niveles de privilegios (de 0, el nivel ms restrictivo, al 15, el nivel menos restrictivo) para proteger el sistema de los acceso no autorizados. Use el comando privilege mode level. El siguiente ejemplo ilustra esta configuracin:
privilege exec level 14 enable secret level 2 secretword2

Restriccin del acceso VTY

Permita que slo algunos usuarios/ubicaciones puedan hacer Telnet al router mediante la definicin y aplicacin de una lista de acceso para permitir o denegar las sesiones Telnet remotas. El siguiente ejemplo ilustra esta configuracin:
line vty 0 4 access-class 10 in access-list 10 permit 10.1.1.0 0.0.0.255

Uso de AAA para el acceso seguro

Se puede usar un servidor de autenticacin para validar el acceso de usuarios al sistema. Los siguientes comandos permiten que un servidor AAA o un servidor TACACS+ se puedan usar para servicios de autenticacin. El siguiente ejemplo ilustra esta configuracin:
aaa new-model aaa authentication login default tacacs+ enable aaa authentication enable default tacacs+ enable ip tacacs source-interface Loopback0 tacacs-server host 10.17.1.2 tacacs-server host 10.17.34.10 tacacs-server key xyz ! Defines the shared encryption key to be xyz

Configuracin de contabilidad y auditora en AAA

Los siguientes comandos usan un servidor TACACS+ a efectos de contabilidad y auditora.
aaa new-model aaa authentication login default tacacs+ enable

(el inicio de sesin usa TACACS+; si no est disponible, use la contrasea de habilitacin)
aaa authentication enable default tacacs+ enable aaa accounting command 1 start-stop tacacs+

(ejecute la contabilidad para los comandos en el nivel 1 de privilegios especificado)

aaa accounting exec start-stop tacacs+ ip tacacs source-interface Loopback0 tacacs-server host 10.17.1.2 Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-4
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

tacacs-server host 10.17.34.10 tacacs-server key xyz (defines the shared encryption key to be xyz)

El siguiente registro de comando muestra la informacin que incluye un registro de contabilidad de comando TACACS+ para los privilegios de nivel 1.
Wed Jun 25 03:46:47 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=3 service=shell priv-lvl=1 cmd=show version <cr> Wed Jun 25 03:46:58 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=4 service=shell priv-lvl=1 cmd=show interfaces Ethernet 0 <cr> Wed Jun 25 03:47:03 1997 192.168.25.15 fgeorge tty3 5622329430/4327528 stop task_id=5 service=shell priv-lvl=1 cmd=show ip route <cr>

Configuracin de autenticacin de usuario local cuando AAA no est disponible

Siempre debe requerirse la autenticacin basada en inicio de sesin de los usuarios, incluso cuando el servidor externo AAA no est accesible. El siguiente ejemplo ilustra esta configuracin:
username joe password 7 045802150C2E username jim password 7 0317B21895FE ! line vty 0 4 login local

Restriccin del acceso tty

Puede permitir el acceso Telnet al router slo a algunos usuarios y ubicaciones mediante el uso de las lneas de terminal (tty) o de terminal virtual (vty). Defina y aplique una lista de acceso para permitir o denegar sesiones Telnet remotas al router Cisco Unified CME, tal como se muestra en el siguiente ejemplo.
line vty 0 4 access-class 10 in access-list 10 permit 10.1.1.0 0.0.0.255

Configuracin del acceso SSH

Use el siguiente comando para generar una pareja de claves RSA para el router: crypto key generate rsa De forma predeterminada, el transporte vty es Telnet. El siguiente comando deshabilita Telnet y slo admite SSH para las lneas vty.
line vty 0 4 transport input ssh

Uso de las ACL para el acceso SNMP

Se puede configurar la cadena de acceso de asociacin para permitir el acceso a SNMP (Simple Network Management Protocol). El siguiente ejemplo asigna la cadena changeme-rw a SNMP, permitiendo el acceso de lectura- escritura y especifica que la lista de acceso IP 10 pueda utilizar la cadena de asociacin:
access-list access-list snmp-server snmp-server 10 remark 10 permit community community SNMP filter 10.1.1.0 0.0.0.255 changeme-rw RW 10 changeme-ro RO 10

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-5
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Debido a que lectura y escritura son dos cadenas de asociacin comunes para el acceso de lectura y escritura respectivamente, cambie las cadenas de asociacin a otras diferentes.

Deshabilitacin del protocolo CDP (Cisco Discovery Protocol)

Debido a que el protocolo CDP (Cisco Discovery Protocol) descubre de forma automtica los dispositivos de red adyacentes que admiten CDP, deshabilite CDP en un dominio no fiable, de forma que los routers Cisco Unified CME no aparezcan en la tabla CDP de otros dispositivos. Deshabilite CDP con el siguiente comando: no cdp run Si se necesita CDP, considere la deshabilitacin de CDP por cada interfaz, como se muestra en el ejemplo siguiente:
Interface FastEthernet0/0 no cdp enable

Configuracin de COR para llamadas entrantes y salientes

Uno de los mtodos para restringir las llamadas entrantes y salientes no autorizadas es usar los comandos COR (Class o Restriction) La configuracin que aparece en el siguiente ejemplo define dos grupos de usuarios: user y superuser. Superuser puede hacer cualquier tipo de llamada, incluyendo locales, de larga distancia, consultas al directorio telefnico y llamadas a nmeros de emergencia. User no puede hacer llamadas a nmeros 900, de directorios telefnicos e internacionales.
dial-peer cor custom name 911 name 1800 name local-call name ld-call name 411 name int-call name 1900 ! dial-peer cor list call911 member 911 ! dial-peer cor list call1800 member 1800 ! dial-peer cor list calllocal member local-call ! dial-peer cor list callint member int-call ! dial-peer cor list callld member ld-call ! dial-peer cor list call411 member 411 ! dial-peer cor list call1900 member 1900 ! dial-peer cor list user member 911 member 1800 member local-call member ld-call ! Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-6
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

dial-peer cor list superuser member 911 member 1800 member local-call member ld-call member 411 member int-call member 1900 ! dial-peer voice 9 pots corlist outgoing callld destination-pattern 91.......... port 1/0 prefix 1 ! dial-peer voice 911 pots corlist outgoing call911 destination-pattern 9911 port 1/0 prefix 911 ! dial-peer voice 11 pots corlist outgoing callint destination-pattern 9011T port 2/0 prefix 011 ! dial-peer voice 732 pots corlist outgoing calllocal destination-pattern 9732....... port 1/0 prefix 732 ! dial-peer voice 800 pots corlist outgoing call1800 destination-pattern 91800....... port 1/0 prefix 1800 ! dial-peer voice 802 pots corlist outgoing call1800 destination-pattern 91877....... port 1/0 prefix 1877 ! dial-peer voice 805 pots corlist outgoing call1800 destination-pattern 91888....... port 1/0 prefix 1888 ! dial-peer voice 411 pots corlist outgoing call411 destination-pattern 9411 port 1/0 prefix 411 ! dial-peer voice 806 pots corlist outgoing call1800 destination-pattern 91866....... port 1/0 prefix 1866

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-7
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

ephone-dn 1 number 2000 cor incoming user ephone-dv 2 number 2001 cor incoming superuser

Restriccin de patrones de llamadas salientes

Es posible usar el comando after-hours block para restringir las llamadas entrantes y salientes despus de determinadas horas. Tambin se puede usar el bloqueo para horario extendido a fin de restringir las llamadas a nmeros o cdigos de rea que se corresponden con patrones de llamadas fraudulentas. Los comandos que se muestran en el siguiente ejemplo bloquean todas las llamadas en todos los horarios para los patrones 2 a 66. El patrn 7 slo se bloquea durante el periodo de horario extendido configurado.
telephony-service after-hours block pattern after-hours block pattern after-hours block pattern after-hours block pattern after-hours block pattern after-hours block pattern after-hours day Sun 19:00 after-hours day Mon 19:00 after-hours day Tue 19:00 after-hours day Wed 19:00 after-hours day Thu 19:00 after-hours day Fri 19:00 after-hours day Sat 19:00 2 .1264 3 .1268 4 .1246 5 .1441 6 .1284 7 9011 07:00 07:00 07:00 07:00 07:00 07:00 07:00 7-24 7-24 7-24 7-24 7-24

Seguridad de Cisco Unified CME para telefona IP

En esta seccin se describen los siguientes temas: Control de registro de telfono IP, pgina 10-8 Supervisin de registro de telfono IP, pgina 10-9 Supervisin de actividad de llamadas y registro de historial de llamadas, pgina 10-10 COR para llamadas entrantes y salientes para evitar el fraude telefnico, pgina 10-10 Bloqueo en horario extendido para restringir los patrones de llamadas salientes-fraude telefnico, pgina 10-12

Control de registro de telfono IP

Configure Cisco Unified CME para permitir el registro de los telfonos IP del dominio de confianza. Suponiendo que el segmento local sea un dominio de confianza, use la opcin strict-match del comando ip source-address, de forma que slo los telfonos IP conectados podrn registrarse en el router Cisco Unified CME y obtener servicios telefnicos.
CME-3.0(config-telephony)# ip source-address 10.1.1.1 port 2000 strict-match

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-8
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Puede agrupar un conjunto de telfonos IP en una VLAN (como, por ejemplo, 10.1.1.0/24), de forma que slo los telfonos IP de la VLAN especificada puedan registrarse para Cisco Unified CME. Bloquee el acceso al puerto 2000 del lado de la WAN a fin de evitar que telfonos SCCP externos puedan registrarse con Cisco Unified CME. Use el comando access-list para bloquear el acceso al puerto 2000 desde las interfaces WAN. El siguiente ejemplo ilustra esta configuracin:
access-list 101 deny tcp any any eq 2000

Tambin puede evitar que telfonos IP desconocidos o no configurados se registren mediante la deshabilitacin del registro automtico utilizando el siguiente comando:
CME-4.0(config-telephony)# no auto-reg-ephone

Nota

La deshabilitacin del registro automtico tambin desactiva el aprovisionamiento de la GUI de ephone y el repliegue SRST de Cisco Unified CME. Con Cisco Unified CME 3.x y versiones anteriores, se deben aprovisionar los ephones antes de configurar la direccin IP de origen a fin de omitir provisionalmente el comportamiento de registro automtico. Antes de Cisco Unified CME 4.0, los telfonos desconocidos o los telfonos que no se haban configurado en Cisco Unified CME podan registrarse con Cisco Unified CME de forma predeterminada para facilitar la administracin, pero estos telfonos no proporcionan un tono de marcado hasta que los configure mediante la asociacin de los botones con los ephone-dns o con la configuracin auto assign (del modo de configuracin telephony-service). Los siguientes comandos ilustran la configuracin ephone-dns con el comando ephone-dn.
ephone-dn 1 number 1001 ephone-dn 2 number 1002 ephone 1 mac-address 1111.2222.3333 button 1:1 2:2

Los siguientes comandos ilustran la configuracin del comando auto assign:

CMEtest4-3745(config)# telephony-service CMEtest4-3745(config-telephony)# auto assign 1 to 500

Con Cisco Unified CME 4.0, se puede configurar no auto-reg-ephone en el modo de configuracin telephony-service, de forma que los telfonos IP que nos estn explcitamente configurados con las direcciones MAC en el modo de configuracin ephone no pueden registrarse de forma automtica con el sistema Cisco Unified CME.

Supervisin del registro del telfono IP

Cisco Unified CME 3.0 ha agregado los siguientes mensajes syslog para generar y mostrar todos los eventos de registro/cancelacin de registro:
%IPPHONE-6-REG_ALARM %IPPHONE-6-REGISTER %IPPHONE-6-REGISTER_NEW %IPPHONE-6-UNREGISTER_ABNORMAL %IPPHONE-6-REGISTER_NORMAL

El siguiente mensaje indica que un telfono se ha registrado y que no es parte de la configuracin explcita del router (la configuracin ephone no se ha creado o la direccin MAC no ha sido asignada):

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-9
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

%IPPHONE-6-REGISTER_NEW: ephone-3:SEP003094C38724 IP:10.4.170.6 Socket:1 DeviceType:Phone has registered.

Nota

Con Cisco Unified CME 4.0 y versiones posteriores, si ha configurado el comando no auto-regephone, no se genera el mensaje precedente. Cisco Unified CME permite que los telfonos no configurados se registren a fin de hacer el aprovisionamiento ms conveniente del sistema Cisco Unified CME. De forma predeterminada, los telfonos designados como nuevos no tienen asignadas lneas telefnicas y no pueden realizar llamadas. Puede usar la siguiente configuracin para habilitar syslogging para el bfer/la consola de un router o un servidor syslog:
logging console | buffered logging 192.168.153.129 ! 192.168.153.129 is the syslog server

Supervisin de actividad de llamadas y registro de historial de llamadas

La GUI de Cisco Unified CME ofrece una tabla de informacin del historial de llamadas, de forma que un administrador de red pueda supervisar la informacin del historial de llamadas de personas desconocidas y usar esta informacin para desestimar las actividades de llamadas basndose en determinados patrones. El registro del historial de llamadas se debe configurar para que se lleve a cabo el anlisis y la contabilidad detallados, y para permitir al administrador hacer un seguimiento de los patrones de llamadas fraudulentas. Configure los siguientes comandos para el registro de actividad y el historial de llamadas:
dial-control-mib retain-timer 10080 dial-control-mib max-size 500 ! gw-accounting syslog

COR para llamadas entrantes/salientes para prevenir el fraude telefnico

El siguiente ejemplo de configuracin ilustra COR. Hay dos clases de servicio en la configuracin: user y superuser junto con varios permisos admitidos como llamadas locales, llamadas de larga distancia, acceso al nmero de emergencia y acceso a directorios telefnicos. En este ejemplo, superuser tiene acceso a todo y user tiene acceso a todos los recursos con la excepcin de las llamadas a los nmeros 1900, directorios telefnicos y llamadas internacionales.
dial-peer cor custom name 911 name 1800 name local-call name ld-call name 411 name int-call name 1900 dial-peer cor list call911 member 911 ! dial-peer cor list call1800 member 1800

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-10
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

! dial-peer cor list member local-call ! dial-peer cor list member int-call ! dial-peer cor list member ld-call ! dial-peer cor list member 411 ! dial-peer cor list member 1900

calllocal

callint

callld

call411

call1900

dial-peer cor list user member 911 member 1800 member local-call member ld-call ! dial-peer cor list superuser member 911 member 1800 member local-call member ld-call member 411 member int-call member 1900 dial-peer voice 9 pots corlist outgoing callld destination-pattern 91.......... port 1/0 prefix 1 ! dial-peer voice 911 pots corlist outgoing call911 destination-pattern 9911 port 1/0 prefix 911 ! dial-peer voice 11 pots corlist outgoing callint destination-pattern 9011T port 2/0 prefix 011 ! dial-peer voice 732 pots corlist outgoing calllocal destination-pattern 9732....... port 1/0 prefix 732 ! dial-peer voice 800 pots corlist outgoing call1800 destination-pattern 91800....... port 1/0 prefix 1800 ! dial-peer voice 802 pots

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-11
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

corlist outgoing call1800 destination-pattern 91877....... port 1/0 prefix 1877 ! dial-peer voice 805 pots corlist outgoing call1800 destination-pattern 91888....... port 1/0 prefix 1888 ! dial-peer voice 411 pots corlist outgoing call411 destination-pattern 9411 port 1/0 prefix 411 ! dial-peer voice 806 pots corlist outgoing call1800 destination-pattern 91866....... port 1/0 prefix 1866 ephone-dn 1 number 2000 cor incoming user Ephone-dn 2 number 2001 cor incoming superuser

Bloqueo en horario extendido para restringir los patrones de llamadas salientes-fraude telefnico
El bloqueo en horario extendido se puede agregar para la restriccin de llamadas salientes despus de determinadas horas. Tambin se puede usar el bloqueo para horario extendido para restringir las llamadas a nmeros o cdigos de rea que se corresponden con patrones de llamadas fraudulentas. El siguiente ejemplo de configuracin se puede usar para restringir llamadas a determinados cdigos de rea:
telephony-service after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block after-hours block pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern pattern 1 .1242 2 .1264 3 .1268 4 .1246 5 .1441 6 .1284 7 .1345 8 .1767 9 .1809 10 .1473 11 .1876 12 .1664 13 .1787 14 .1869 15 .1758 16 .1900 17 .1976 18 .1868 19 .1649

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-12
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours after-hours

block pattern block pattern block pattern block pattern block pattern day Sun 00:00 day Mon 00:00 day Tue 00:00 day Wed 00:00 day Thu 00:00 day Fri 00:00 day Sat 00:00

20 .1340 21 .1784 22 .1684 23 .1590 24 .1456 23:59 23:59 23:59 23:59 23:59 23:59 23:59

Cisco Unified CME con NAT y Firewall

En esta seccin se describen los siguientes temas: Cisco Unified CME con NAT, pgina 10-13 Telfonos remotos con direcciones IP pblicas, pgina 10-14 Telfonos remotos con direcciones IP privadas, pgina 10-14 Telfonos remotos a travs de VPN, pgina 10-15 Consideraciones sobre la implementacin Cisco Unified CME con Cisco IOS Firewall, pgina 10-16

Cisco Unified CME con NAT

Por lo general, la interfaz LAN del router Cisco Unified CME (interfaz Ethernet) se usa como una direccin IP de origen que utilizan los telfonos IP y el router Cisco Unified CME para comunicarse entre s. Sin embargo, cuando un mdulo de conmutacin interno se usa para conectar telfonos IP, la direccin IP de la VLAN se puede usar como una direccin IP de origen. Otra opcin como direccin IP de origen es la direccin IP de la interfaz de un bucle de prueba. La direccin IP de los telfonos IP son direcciones internas para el router Cisco Unified CME y estn en un segmento diferente que no es visible para los dispositivos externos o las personas que llaman. Otros dispositivos, incluyendo el gateway o gatekeeper Cisco, usan la direccin IP del router Cisco Unified CME para comunicarse en lugar de comunicarse directamente con los telfonos IP. Los routers Cisco Unified CME convierten las direcciones IP de ida y vuelta para enrutar el trfico a los telfonos IP o fuera del rea de red. Por lo tanto, no se requiere configuracin NAT para la voz/audio de dos vas desde/hacia los telfonos IP conectados localmente al router Cisco Unified CME. Se recomienda que NAT se implemente slo para el trfico de datos con Cisco Unified CME. Es posible que NAT sea necesario para los telfonos IP implementados de forma remota que no tienen direcciones IP enrutables.
Nota

La direccin IP de Cisco Unified CME que se usa como direccin IP de origen necesita ser enrutable y puede ser una direccin IP de bucle de prueba en todos los escenarios descritos en esta seccin. Adems, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-13
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Telfonos remotos con direcciones IP pblicas

El soporte telefnico remoto que se ha incorporado en Cisco Unified CME 4.0 permite que los telfonos IP se conecten a Cisco Unified CME a travs de un enlace WAN como, por ejemplo, Frame Relay, DSL y cable. La ilustracin 10-1 muestra un escenario tpico de esta disposicin de conectividad.
Ilustracin 10-1: Telfonos remotos con direcciones IP pblicas

En este escenario de la ilustracin 10-1, ephone 3 es una VLAN privada y usa Cisco Unified CME para tener acceso a ephone 1 y ephone 2 en las ubicaciones remotas con direcciones IP pblicas. Sin embargo, debido a que las transmisiones de medios se envan entre los telfonos conectados al mismo Cisco Unified CME, MTP (Media Termination Point) se debe configurar en los telfonos remotos a fin de que Cisco Unified CME termine la transmisin de medios; de ese modo, se garantiza un audio de doble va entre ephone 3 y ephone 1 o ephone 2. Los telfonos remotos requieren el codec G729r8. La configuracin en ephone 1 o ephone 2 es la siguiente:
ephone 1 mtp codec g729r8

La opcin MTP bajo ephone 1 hace que el router Cisco Unified CME acte como un proxy. Cisco Unified CME enva los paquetes de medios a otros telfonos IP con la direccin del router Cisco Unified CME en el campo de direccin de origen. Si otros telfonos de la llamada no son un telfono IP, Cisco Unified CME enva los paquetes de medios.
Nota

Si todos los telfonos tienen direcciones IP pblicas, no se requiere la configuracin MTP y los datos de medios fluiran entre los telfonos (en lugar de hacerlo a travs de Cisco Unified CME). Recomendamos que no use MTP, a menos que se requiera. Como en el escenario anterior, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.

Telfonos remotos con direcciones IP privadas

La ilustracin 10-2 ilustra un escenario tpico cuando se implementan telfonos IP con direcciones IP privadas en la ubicacin remota.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-14
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Ilustracin 10-2:

Conexin telefnica remota con direcciones IP privadas

Los telfonos remotos se pueden conectar a travs de un router Cisco tradicional (como el Cisco 87x o el Cisco PIX) o mediante un dispositivo de enrutamiento alternativo (como el router Linksys). Ambas implementaciones requieren que NAT se configure si los telfonos remotos no usan direcciones IP enrutables. Se requiere la compatibilidad NAT SCCP para implementar audio de doble va entre los telfonos IP conectados al Cisco Unified CME. Al admitir NAT la conversin de las direcciones IP incrustadas y los nmeros de puertos presentados en los mensajes SCCP, se puede crear una entrada NAT completa para permitir el trfico RTP al flujo entre los telfonos IP. Como resultado, se admite el audio de doble va de voz/audio entre los telfonos IP cuando estn conectados a travs de NAT. Para un dispositivo como el router Linksys, que no reconoce SCCP, existe el audio de una sola va entre los dos extremos de telfono IP. Un forma de evitar el problema del audio de una sola va es conectar el telfono IP remoto conectado al Linksys a travs de un puerto DMZ con direcciones IP enrutables, o establecer una conexin VPN al router Cisco Unified CME. Advertencias: La compatibilidad con NAT SCCP est disponible en Cisco IOS Release 12.3(11)T y versiones posteriores, en los routers Cisco IOS. Se requiere que MTP se configure en los telfonos remotos. Los telfonos remotos conectados a travs de un router de Cisco con compatibilidad SCCP NAT tambin requieren la configuracin de MTP a fin de dar soporte al audio de doble va. Los telfonos remotos conectados a un router SCCP NAT no Cisco encontrarn el problema de audio de una sola va, incluso si se configura MTP en los telfonos remotos. Una forma de solventar este problema temporalmente es usar VPN entre Cisco Unified CME y un router SCCP NAT no Cisco u obtener direcciones IP pblicas para los telfonos remotos.

Nota

Como en los ejemplos anteriores, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.

Telfonos remotos a travs de VPN

Los telfonos remotos con direcciones IP privadas se pueden conectar a los telfonos conectados a un Cisco Unified CME usando un router no Cisco. Sin embargo, a fin de dar soporte al audio de doble va entre estos telfonos remotos con direcciones privadas y los telfonos conectados a Cisco Unified CME (que tienen direcciones IP pblicas), se debe establecer un tnel VPN IP Sec entre Cisco Unified CME y el router no Cisco. Tambin se puede usar una VPN para conectar Cisco Unified CME y los routers Cisco SCCP NAT (como Cisco 87x/PIX) admitiendo as las conexiones compatibles con la aceleracin QoS y VPN. La ilustracin 10-3 muestra ejemplos de estos entornos relacionados con VPN.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-15
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Nota

Como en los ejemplos anteriores, se deben abrir los puertos UDP/TCP entre los telfonos IP remotos y la direccin de origen de Cisco Unified CME.
Ilustracin 10-3 Conexin telefnica remota mediante VPN

Consideraciones sobre la implementacin Cisco Unified CME con Cisco IOS Firewall
Esta descripcin de la implementacin Cisco Unified CME con Cisco IOS Firewall describe los siguientes temas: Informacin general sobre Cisco IOS Firewall con Cisco Unified CME, pgina 10-16 Problemas anteriores en Cisco Unified CME con Cisco IOS Firewall, pgina 10-16 Cisco Unified CME y Cisco IOS Firewall en el mismo router, pgina 10-17 Otras alternativas para garantizar la seguridad de Cisco Unified CME, pgina 10-19

Informacin general de Cisco IOS Firewall con Cisco Unified CME

Cisco IOS Firewall, ejecutndose en los routers Cisco IOS, ofrece una solucin firewall basada en red con la funcionalidad de control de acceso basado en contexto (CBAC) o inspeccin de protocolos, sistema de deteccin de intrusiones (Cisco IDS), proxy de autenticacin y filtrado URL. Un firewall proporciona control de acceso entre las redes internas y externas. Identifica las redes como internas (privada) o externas (pblica) donde los paquetes pueden obtenerse desde fuera o dentro, bloquearse de forma predeterminada desde el interior o el exterior, y en las que se admite el paso de los paquetes asociados con una conexin originada en el interior. Muchos firewalls slo funcionan si todo el trfico externo se origina desde zcalos bien conocidos y no gestionan trfico asimtrico (como el de medios UDP). Los firewalls de Cisco IOS permiten que los paquetes pasen basndose en las direcciones IP de origen y destino, y la directiva de firewall configurada. Cisco Unified CME es una caracterstica de software agregada a los routers Cisco IOS que proporciona procesamiento de llamadas para telfonos IP usando Skinny Client Control Protocol (SCCP) para PYME/delegaciones y entornos SP gestionados. Pueden haber instancias de implementaciones en PYME o delegaciones donde slo se requiere un solo router para suministrar acceso a Internet, servicio telefnico IP y funciones de Cisco IOS Firewall. Cisco Unified CME requiere que todos los telfonos IP estn conectados localmente al Cisco Unified CME antes de la introduccin del soporte telefnico remoto. Por lo tanto, se necesita que Cisco IOS Firewall sea compatible con H.323 y SCCP para el trfico generado localmente.

Problemas anteriores en Cisco Unified CME con Cisco IOS Firewall

SCCP es una pequea versin propietaria de Cisco de H.323. El trfico H.323 se puede clasificar en sealizacin de llamada, control de llamada y comunicacin de medios. H.323 usa Q.931, H.225 y
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-16
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

H.245 para configurar, gestionar/controlar y terminar llamadas. Los siguientes puntos describen cmo la sealizacin y los flujos de medios se ven afectados por el firewall de Cisco IOS. Flujo de sealizacin Una llamada H.323 requiere una conexin TCP para la sealizacin H.245 que no tienen asociado un puerto bien conocido. El puerto H.245 se asigna dinmicamente. Debido a que este puerto no se conoce previamente y no se puede configurar cuando se define la directiva del firewall, Cisco IOS Firewall bloquear el mensaje H.245 y el procedimiento de sealizacin de llamada generar un error. Cuando se use NAT en la ruta de sealizacin H.323, se usar una direccin IP interna (que est detrs del NAT y el resto del mundo no conoce) como el elemento de informacin de la parte que realiza la llamada en el flujo de sealizacin H.225. Como resultado, la llamada entrante (los intentos de volver a crear una conexin H.225 a esa direccin) generar un error. Flujos de medios (flujos RTP) Los flujos RTP se ejecutan sobre UDP y no tienen ningn puerto fijo asociado a ellos. Cada tipo de flujo de medio tiene uno o ms canales con nmeros de origen, destino y puerto asignados, que no se conocen previamente y no se pueden preconfigurar en la directiva firewall. Para que el flujo de medios atraviese el firewall, ste debe abrir muchos puertos UDP con parejas de origen y destino para cada sesin de llamadas. Esto puede causar vulnerabilidades en la red detrs del firewall. Debido a que Cisco IOS Firewall no permite el trfico externo atraviese en direccin a los destinos internos, las llamadas VoIP (llamadas internas) generarn un error. Adems, los puertos dinmicos RTP/RTCP que usan los extremos no se abren automticamente y no se admiten sin modificacin de la directiva de seguridad. Los problemas se pueden resumir de la siguiente forma: El firewall slo examina las direcciones de Capa 3. Los protocolos de sealizacin VoIP incrustan direcciones IP en la Capa 4 y superiores. RTP/RTCP funciona en la Capa 5. De forma predeterminada, los firewalls no admiten el trfico de fuera hacia dentro. El conjunto de caractersticas del firewall de Cisco IOS, NAT y PIX disponen de una funcionalidad de aplicacin denominada Application Layer Gateway (ALG), o protocolo de resolucin que ayuda a resolver estos problemas.

La aplicacin VoIP se compone de un conjunto dinmico de protocolos. SIP, MGCP, H.323 y SCCP para la sealizacin. SDP, H.225 y H.245 para el intercambio de capacidad. RTP/RTCP para el control y los medios de audio RTP/RTCP usan un puerto dinmico para los datos de audio que se sita en el intervalo de 16384 a 32767 para todos los productos de Cisco.

Nota

Cisco IOS Firewall no admita anteriormente la inspeccin Skinny, debido a que los paquetes salientes se convierten a H323 o SIP. Como resultado, no hay necesidad de inspeccin Skinny. Sin embargo, las ACL se pueden usar para filtrar los paquetes/el trfico no deseado como una forma de admitir la inspeccin Skinny de paquetes entrantes. Cisco IOS Firewall ha agregado soporte de inspeccin H.323 para cualquier trfico generado localmente; de este modo, es posible implementar Cisco Unified CME e IOS Firewall en el mismo router.

Cisco Unified CME y Cisco IOS Firewall en el mismo router

Siempre que Cisco IOS Firewall no se aplique a las interfaces que tiene trfico de voz (sealizacin y medios) entrante, Cisco Unified CME y Cisco IOS Firewall pueden coexistir en el mismo router. La
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-17
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

inspeccin del trfico generado por el router, disponible en Cisco Release IOS 12.3(14) T y posteriores, mejora la funcionalidad de Cisco IOS Firewall para inspeccionar las conexiones TCP, UDP y H.323 que tienen un router o firewall como uno de los extremos de la conexin. La inspeccin de los canales TCP y UDP iniciados desde el router habilita la apertura dinmica de los pinholes de la lista de control de acceso (ACL) de la interfaz, para permitir el trfico de retorno. La inspeccin de las conexiones H.323 hace posible la implementacin de Cisco Unified CME y Cisco IOS Firewall en el mismo router. Esto tambin simplifica la configuracin de ACL en la interfaz de Cisco Unified CME a travs de la cual se realizan las conexiones H.323. Antes de esta caracterstica, se requeran varias ACL para permitir que todos los canales de datos y de medios se negociasen dinmicamente; adems de las ACL necesarias para permitir las conexiones H.323 en un puerto estndar como el 1720. Con esta caracterstica, puede configurar las ACL para permitir los canales de control H.323 en el puerto 1720. Cisco IOS Firewall inspecciona todo el trfico en el canal de control y abre pinholes para admitir canales de datos y medios negociados dinmicamente. El siguiente procedimiento ilustra la configuracin de ACL que da soporte a esta capacidad:

Paso 1

Crear la ACL. En este ejemplo, se permite el trfico TCP desde la subred 10.168.11.1, 192.168.11.50 y 192.168.100.1.
access-list 120 permit tcp host 10.168.11.1 any eq 1720 access-list 121 permit tcp host 192.168.11.50 host 10.168.11.1 eq 1720 access-list 121 permit tcp host 192.168.100.1 host 10.168.11.1 eq 1720

Paso 2

Crear la regla de inspeccin LOCAL-H323 de Cisco IOS Firewall. Esto permite la inspeccin del trfico del protocolo especificado por la regla. Esta regla de inspeccin establece el valor del tiempo de inactividad en 180 segundos para cada protocolo (excepto para RPC). El valor del tiempo de inactividad define el periodo mximo que una conexin de un determinado protocolo puede permanecer activa sin que pase a travs de ella trfico alguno al router. Cuando se alcanzan estos tiempos de inactividad, se eliminan las ACL dinmicas que estn insertadas para permitir el trfico de retorno, y los paquetes subsiguientes (incluso los vlidos, posiblemente) no se admitirn.
ip inspect name LOCAL-H323 tftp timeout 180 ip inspect name LOCAL-H323 h323 router-traffic timeout 180

Paso 3

Aplicar la regla de inspeccin y la ACL. En este ejemplo, se aplica la regla de inspeccin LOCALH323 al trfico en la interfaz Serial0/3/0:
interface Serial0/3/0 ip address 10.168.11.2 255.255.255.0 ip access-group 121 in ip access-group 120 out ip inspect LOCAL-H323 in ip inspect LOCAL-H323 out encapsulation frame-relay frame-relay map ip 10.168.11.1 168 broadcast no frame-relay inverse-arp frame-relay intf-type dce

Paso 4

Cisco IOS Firewall slo admite la versin 2 del protocolo H.323. Configure el siguiente comando en Cisco Unified CME para admitir nicamente las caractersticas de la versin 2:
voice service voip h323 session transport tcp calls-per-connection 1 h245 tunnel disable h245 caps mode restricted h225 timeout tcp call-idle value 0

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-18
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Otras alternativas para garantizar la seguridad de Cisco Unified CME

Estas son cuatro soluciones alternativas que puede usar para proporcionar seguridad a los usuarios de Cisco Unified CME: Ejecutar Cisco IOS Firewall en otro router: no es necesario que est en el mismo Cisco Unified CME. Configurar un nmero mximo de conexiones en el Cisco Unified CME. Esto est disponible con la implementacin normal de H.323 en el software Cisco IOS y puede ayudar a controlar el nmero mximo de llamadas H.323 (Entrantes + salientes con configuracin H225) que se procesarn (por ejemplo, dial-peer voice 10 voip; max-conn 5 limita las llamadas a cinco conexiones). Configurar las ACL para que admitan conexiones H.225 nicamente desde el gatekeeper (GK) si el GK de la red est usando la sealizacin enrutada. Usar la seguridad H.235 para autenticar a las personas que llaman y ofrecer seguridad de llamada.

Sealizacin SCCP segura mediante TLS

Cisco Unified CME 4.0 incluido en Cisco IOS Release 12.4(4)XC ofrece autenticacin telefnica y sealizacin SCCP segura con TLS (Transport Layer Security). La autenticacin telefnica es una infraestructura de seguridad para proporcionar SCCP segura entre Cisco Unified CME y los telfonos IP. La autenticacin telefnica gestiona las siguientes necesidades de seguridad:
Nota

Establecer la identidad de cada extremo del sistema. Autenticar los dispositivos. Proporcionar privacidad de sesin de sealizacin Proporcionar proteccin a los archivos de configuracin

RTP seguro no se admite en Cisco Unified CME 4.0. La caracterstica de autenticacin telefnica segura se admite en los siguientes conjuntos de caractersticas de Cisco IOS: Advanced IP Services (como c3725-advipservicesk9-mz.124-4.XC.bin) Advanced Enterprise Services (c3725-adventerprisek9-mz.124-4.XC.bin)

Los telfonos compatibles son los telfonos IP unificados de Cisco 7911G, Cisco 7941G, Cisco 7961G y 7970/71G-GE. Las principales consideraciones para la sealizacin SCCP segura a travs de TLS son las siguientes: Se usa el cliente CTL (Certificate Trust List) para crear el archivo CTL y hacerlo disponible en el directorio TFTP. El archivo CTL (CTLfile.tlv) contiene la informacin de clave pblica de todos los servidores con los cuales interacta el telfono IP. Se crea un archivo de configuracin firmado digitalmente (SEP<MAC-addr>.cnf.xml.sgh) por el mdulo telephony-service en el software Cisco IOS. Se usa la clave privada del router para firmar el documento. Certificate Authority Proxy Function (CAPF), un proxy entre el telfono IP y la autoridad de certificacin (CA): se usa para solicitar un certificado en nombre del telfono. A travs del protocolo CAPF el servidor CAPF obtiene toda la informacin necesaria del telfono (incluyendo la clave pblica y el identificador del telfono). El estado de la configuracin CAPF reside en el archivo CNF.

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-19
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

La autenticacin telefnica tiene lugar entre el Cisco Unified CME y un dispositivo compatible cuando cada entidad acepta el certificado de la otra entidad, y cuando se establece una conexin segura entre las entidades. La autenticacin telefnica depende de la creacin de un archivo CTL. La autenticacin de archivo valida los archivos firmados digitalmente que un telfono descarga desde un servidor TFTP: archivos config, ringist, CTL y de configuracin regional. Cuando se reciben este tipo de archivos, el telfono valida las firmas de los archivos para verificar que no se hayan manipulado despus de su creacin. La autenticacin de sealizacin, tambin denominada integridad de sealizacin, usa el protocolo TLS para validar que los paquetes de sealizacin no se hayan manipulado durante la transmisin. La autenticacin de sealizacin depende de la creacin del archivo CTL.

Siga el siguiente procedimiento para configurar el soporte para la sealizacin SCCP mediante TLS:

Paso 1

Configure NTP o configure manualmente el reloj del software usando el comando clock set como en el siguiente ejemplo:
clock timezone PST -8 clock summer-time PDT recurring ntp clock-period 17247042 ntp server 171.68.10.80 ntp server 171.68.10.150

Paso 2

Configure una autoridad de certificacin (CA) de Cisco IOS: certificados emitidos por la CA para las funciones de servidor Cisco Unified CME, CAPF, TFTP y SAST: La CA puede estar en el mismo router Cisco Unified CME o en un router externo. El siguiente ejemplo ilustra la configuracin de una CA en el mismo router Cisco Unified CME:
crypto pki server laverda-ca grant auto database url flash: ! crypto pki trustpoint laverda-ca enrollment url http://192.168.1.1:80 revocation-check crl rsakeypair laverda-ca

Paso 3

Certifique el aprovisionamiento para las funciones de Cisco Unified CME: capf server, cme server, tftp server, sast1 y sast2 como se muestra en los siguientes ejemplos de configuracin. a. Obtenga un certificado para capf server:
!configuring a trust point crypto pki trustpoint capf-server enrollment url http://192.168.1.1:80 revocation-check none !authenticate w/ the CA and download its certificate crypto pki authenticate capf-server ! enroll with the CA and obtain this trustpoint's certificate crypto pki enrollment capf-server

b. Obtenga un certificado para cme server:

crypto pki trustpoint cme-server enrollment url http://192.168.1.1:80 revocation-check none crypto pki authenticate cme-server crypto pki enrollment cme-server

c. Obtenga un certificado para tftp server:

crypto pki trustpoint tftp-server enrollment url http://192.168.1.1:80 revocation-check none Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-20
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

crypto pki authenticate tftp-server crypto pki enrollment tftp-server

d. Obtenga un certificado para sast1:

crypto pki trustpoint sast1 enrollment url http://192.168.1.1:80 revocation-check none crypto pki authenticate sast1 crypto pki enrollment sast1

e. Obtenga un certificado para sast2:

crypto pki trustpoint sast2 enrollment url http://192.168.1.1:80 revocation-check none crypto pki authenticate sast2 crypto pki enrollment sast2

Paso 4

Configure el servicio de telefona con los siguientes pasos: a. Configure la etiqueta trustpoint que se usa para la sealizacin segura:
secure-signaling trustpoint cme-server

b. Configure las credenciales del servidor TFTP (trustpoint) que se usan para firmar los archivos de configuracin:
tftp-server-credentials trustpoint tftp-server

c. Configure el modo de seguridad para los extremos:

server-security-mode secure device-security-mode authenticated

La opcin authenticated instruir al dispositivo para que establezca una conexin TLS sin cifrado. En este modo, no hay SRTP en la ruta de los medios. La opcin encrypted instruir al dispositivo para que establezca una conexin TLS cifrada para asegurar la ruta de los medios mediante SRTP.
Nota

Use la opcin authenticated hasta que SRTP sea compatible en el futuro. d. Configure el sistema para generar los archivos XML de configuracin telefnica para cada extremo:
cnf-file perphone

e. Configure los ephone. Por ejemplo:

ephone 1 device-security-mode authenticated

Paso 5

Configure el cliente CTL en un Cisco Unified CME local a fin de crear un archivo CTL que contenga una lista de los certificados y tokens fiables y conocidos. El cliente CTL puede ejecutarse en el mismo router Cisco Unified CME u otro router independiente. Este es un ejemplo de un cliente CTL en un router Cisco Unified CME local:
ctl-client server capf 192.168.1.1 trustpoint capf-server server tftp 192.168.1.1 trustpoint tftp-server server cme 192.168.1.1 trustpoint cme-server sast1 trustpoint sast1 sast2 trustpoint sast2

Una vez que haya configurado toda la informacin anterior, use el comando regenerate para crear el archivo CTL: regenerate
Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-21
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Paso 6

Configure el servidor CAPF server:

capf-server port 3804 auth-mode null-string cert-enroll-trustpoint laverda-ca password 1 1511021F07257A767B trustpoint-label capf-server source-addr 192.168.1.1 !

Solucin de problemas y depuracin

Use los siguientes comandos para la resolucin de problemas y la depuracin de la sealizacin SCCP segura a travs de la configuracin TLS: show ephone registered show ctl-client show capf-server sessions show capf-server auth-strings show capf-server summary debug ctl-client debug credentials debug capf-server all|messages|error|events

Nota

Para obtener detalles sobre estos comandos de diagnstico, consulte la referencia de los comandos de Cisco Unified CallManager Express. El siguiente es un ejemplo: http://www.cisco.com/en/US/products/sw/voicesw/ps4625/products_command_reference_book09186 a 00805b6c70.html

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-22
OL-10621-01

Captulo 10 Prcticas recomendadas de seguridad de Cisco Unified Call manager Express

Puertos de uso comn de Cisco Unified CME

Las tablas 10-1 y 10-2 muestran los puertos de uso comn de Cisco Unified CME.
Tabla 10-1 Protocolo Puertos de uso comn para voz en Cisco Unified CME Puerto Uso

SCCP SIP RTP RTP H.225 H.245 H.323 RAS H.323 RAS H.323 RAS TLS TLS

TCP 2000 TCP 5060 UDP 16384-32767 UDP 2000 TCP 1720 TCP 11000-65535 UDP 1718 UDP 1719 UDP 223.0.1.4 TCP 3804 TCP 2443

Control de llamadas para telfonos SCCP Control de llamadas para extremos SIP Medios desde Cisco Unified CME al extremo H.323/SIP, incluyendo Cisco Unity Express Medios desde Cisco Unified CME al telfono SCCP Configuracin de llamada H.323 Control de llamadas H.323, asignacin aleatoria de puerto Descubrimiento de GK Control de llamadas de GK Descubrimiento multidifusin de GK Solicitud de autenticacin de CAPF Control seguro de llamadas para telfonos SCCP

Tabla 10-2 Protocolo

Puertos de uso comn para datos en Cisco Unified CME Puerto Uso

DHCP HTTP HTTPS/SSL NTP Radius Radius SNMP SSH Syslog Telnet

UDP 67 TCP 80 TCP 443 UDP 123 UDP 1645 UDP 1646 UDP 161 TCP 22 UDP 514 TCP 23

Direccionamiento IP para telfonos IP Acceso a GUI de Cisco Unified CME, acceso a directorio local de telfono IP Acceso seguro a GUI de Cisco Unified CME Sincronizacin temporal para Cisco Unity Express, telfonos IP Autenticacin para usuarios de CLI/GUI de Cisco Unified CME Contabilidad CDR Interrupciones para supervisin de Cisco Unified CME Acceso seguro a CLI de Cisco Unified CME Supervisin de sistema, contabilidad CDR Acceso a CLI de Cisco Unified CME

Gua de diseo de red Referencia de solucin Cisco Unified CallManager Express 10-23
OL-10621-01