セキュリティのトラブルシューティングの概要

Remote Access

リモート アクセスを使用すると、必要なすべての装置に対して Terminal Services セッション(リモート ポート 3389)、HTTP セッション(リモート ポート 80)、および Telnet セッション(リモート ポート 23)を確立できます。


注意    

ダイヤルインを設定する場合は、システムに対する脆弱性となるため、login:cisco または password:cisco は使用しないでください。

TAC エンジニアが次のいずれかの方法を使用してデバイスにリモート アクセスすることを許可すると、多くの問題を非常に迅速に解決できます。

  • パブリック IP アドレスが設定された装置

  • ダイヤルイン アクセス:(プリファレンスの高い順に)アナログ モデム、統合デジタル通信網(ISDN)モデム、バーチャル プライベート ネットワーク(VPN)

  • ネットワーク アドレス変換(NAT):プライベート IP アドレスが設定された装置へのアクセスを可能にする IOS およびプライベート インターネット エクスチェンジ(PIX)。

エンジニアの介入時にファイアウォールによって IOS トラフィックと PIX トラフィックが遮断されないこと、およびサーバ上で Terminal Services などの必要なすべてのサービスが開始されていることを確認してください。


(注)  

TAC では、すべてのアクセス情報は厳重に管理されます。また、お客様の同意なしにシステムを変更することはありません。

Cisco Secure Telnet

CIsco サービスエンジニア(CSE)は、Cisco Secure Telnet を使用して、サイト上の Unified Communications Manager サーバーに対して透過的にファイアウォールアクセスを実行できます。

Cisco Secure Telnet は、Cisco のファイアウォール内部で Telnet クライアントをイネーブル化することによって、ファイアウォールで稼働する Telnet デーモンに接続します。 このセキュアな接続により、ファイアウォールを変更せずに、Unified Communications Managerサーバの監視およびメンテナンスをリモートで行うことができます。


(注)  

Cisco は、許可があった場合にだけお客様のネットワークにアクセスします。 サイトに、このプロセスの開始を支援するネットワーク管理者を配置する必要があります。

ファイアウォールによる保護

ほとんどすべての内部ネットワークでは、外部から内部のホスト システムへのアクセスを制限するためにファイアウォール アプリケーションが使用されています。 これらのアプリケーションでは、ネットワークとパブリック インターネットとの間の IP 接続を制限することによって、ネットワークが保護されます。

ファイアウォールでは、許可するように明示的に再設定しないかぎり、外部から開始される TCP/IP 接続が自動的にブロックされます。

通常、企業ネットワークではパブリック インターネットとの通信が許可されますが、ファイアウォール内部から外部ホストに向けて開始される接続だけが許可されます。

Cisco Secure Telnet の設計

Cisco Secure Telnet では、ファイアウォールの内側から簡単に Telnet 接続を開始できるという技術を活用しています。 外部のプロキシ マシンを使用して、ファイアウォールの内側からの TCP/IP 通信が Cisco Technical Assistance Center (TAC) にある別のファイアウォールの内側のホストへとリレーされます。

このリレー サーバを使用することによって、両方のファイアウォールの完全性が維持され、また保護されたリモート システム間の安全な通信がサポートされます。

図 1. Cisco Secure Telnet システム


Cisco Secure Telnet の構造

外部のリレーサーバーによって、お客様のネットワークと Cisco との間に Telnet トンネルが構築され、接続が確立されます。 これにより、Unified Communications Managerサーバの IP アドレスおよびパスワード識別子を CSE に送信できます。


(注)  

パスワードは、管理者と CSE が相互に同意した文字列です。

管理者は、Telnet トンネルを開始することによって、プロセスを開始します。これにより、ファイアウォールの内部からパブリック インターネット上のリレー サーバへの TCP 接続が確立されます。 次に、Telnet トンネルによって、ローカルの Telnet サーバへの別の接続が確立され、エンティティ間の双方向のリンクが作成されます。


(注)  

Cisco TAC の Telnet クライアントは、Windows NT および Windows 2000 上で動作するシステム、または UNIX オペレーティング システムに準拠して動作します。

ローカル サイトの Cisco Communications Manager がパスワードを受け入れると、Cisco TAC で実行されている Telnet クライアントは、ローカル ファイアウォールの内側で動作する Telnet デーモンに接続します。 この結果確立される透過的接続によって、マシンがローカルで使用されている場合と同様にアクセスできるようになります。

安定的な Telnet 接続が確立されると、CSE は、Unified Communications Managerサーバに対してメンテナンス タスク、診断タスク、およびトラブルシューティング タスクを実行するためのあらゆるリモート有用性機能を導入できます。

CSE が送信するコマンドおよびUnified Communications Managerサーバから発行される応答を確認することはできますが、コマンドや応答が常に完全な形式で表示されるとは限りません。

リモート アカウントの設定

Cisco サポートがトラブルシューティングのためにご使用のシステムに一時的にアクセスできるよう、Unified Communications Manager でリモートアカウントを設定します。

手順

ステップ 1

[Cisco Unified オペレーティング システムの管理(Cisco Unified Operating System Administration)] で、[サービス(Services)] > [リモート サポート(Remote Support)] を選択します。

ステップ 2

[アカウント名(Account Name)]フィールドに、リモート アカウントの名前を入力します。

ステップ 3

[アカウントの有効期限(Account Duration)]フィールドに、アカウントの有効期限を日数で入力します。

ステップ 4

[保存] をクリックします。

システムは、暗号化パス フレーズを生成します。

ステップ 5

Cisco サポート担当者に連絡して、リモートサポートアカウント名とパスフレーズを提供します。