- Начало
- /
- Статия
Изисквания за мрежа и сигурност за специална инстанция
Изискванията за мрежа и защита за решението за Специализиран екземпляр е оформеният подход към функциите и функционалността, които осигуряват сигурен физически достъп, мрежа, крайни точки и приложения на Cisco UC. Той описва мрежовите изисквания и изброява адресите, портовете и протоколите, използвани за свързване на вашите крайни точки към услугите.
Мрежови изисквания за специализирания екземпляр
Webex Calling Dedicated Instance е част от портфолиото на Cisco Cloud Calling, захранвано от технологията за сътрудничество Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance предлага решения за глас, видео, съобщения и мобилност с характеристиките и предимствата на IP телефоните на Cisco, мобилните устройства и настолните клиенти, които се свързват сигурно със Dedicated Instance.
Тази статия е предназначена за мрежови администратори, особено за защитна стена и администратори на прокси сигурност, които искат да използват специален екземпляр в рамките на своята организация.
Общ преглед на защитата: Защита в слоеве
Специализираният екземпляр използва многопластов подход за сигурност. Слоевете включват:
-
Физически достъп
-
Мрежа
-
Крайни точки
-
Приложения на UC
Следващите раздели описват слоевете на сигурност в разполагането на специални инстанции .
Физическа защита
Важно е да се осигури физическа сигурност на местата на Equinix Meet-Me Room и съоръженията на Центъра за данни на Cisco Dedicated Instance . Когато физическата сигурност е компрометирана, могат да бъдат инициирани прости атаки като прекъсване на услугата чрез изключване на захранването на превключвателите на клиента. С физически достъп нападателите могат да получат достъп до сървърни устройства, да нулират пароли и да получат достъп до превключватели. Физическият достъп също така улеснява по-сложни атаки като атаки "човек в средата", поради което вторият слой за сигурност, мрежовата сигурност, е от решаващо значение.
Самокриптиращите се устройства се използват в специализирани центрове за данни, които хостват приложения на UC.
За повече информация относно общите практики за защита вижте документацията на следното местоположение: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Мрежова защита
Партньорите трябва да гарантират, че всички мрежови елементи са защитени в инфраструктурата на Dedicated Instance (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добрите практики в областта на сигурността, като например:
-
Отделен VLAN за глас и данни
-
Активиране на сигурността на портовете, която ограничава броя на MAC адресите, разрешени за всеки порт, срещу наводнения на маса CAM
-
IP Source Guard срещу фалшиви IP адреси
-
Динамичната ARP инспекция (DAI) разглежда протокола за разрешаване на адреса (ARP) и безвъзмездната ARP (GARP) за нарушения (срещу ARP spoofing)
-
802. ограничава мрежовия достъп до удостоверени устройства на присвоени VLANs (телефоните поддържат 802.1x 1x)
-
Конфигурация на качеството на услугата (QoS) за подходящо маркиране на гласови пакети
-
Конфигурации на портове за защитна стена за блокиране на всеки друг трафик
Защита на крайните точки
Крайните точки на Cisco поддържат функции за сигурност по подразбиране, като подписан фърмуер, сигурно зареждане (избрани модели), инсталиран от производителя сертификат (MIC) и подписани конфигурационни файлове, които осигуряват определено ниво на сигурност за крайните точки.
В допълнение, партньор или клиент може да даде възможност за допълнителна сигурност, като например:
-
Криптиране на IP телефонни услуги (чрез HTTPS) за услуги като Extension Mobility
-
Издаване на местни значими сертификати (LSCs) от прокси функцията на сертифициращия орган (CAPF) или от публичен сертифициращ орган (CA)
-
Шифроване на конфигурационни файлове
-
Криптиране на носители и сигнализация
-
Деактивирайте тези настройки, ако те не се използват: PC порт, PC глас VLAN достъп, безвъзмездна ARP, уеб достъп, бутон за настройки, SSH, конзола
Прилагането на механизми за сигурност в специализирания случай предотвратява кражбата на самоличност на телефоните и Единния CM сървър, подправянето на данни и подправянето на сигнализация / медийния поток.
Специален екземпляр по мрежата:
-
Създава и поддържа удостоверени комуникационни потоци
-
Цифрово подписва файлове, преди да прехвърли файла на телефона
-
Криптира медийни потоци и сигнализация на повиквания между Cisco Unified IP телефони
Сигурността по подразбиране осигурява следните автоматични функции за сигурност за Cisco Unified IP телефони:
-
Подписване на конфигурационните файлове на телефона
-
Поддръжка за криптиране на файлове за конфигурация на телефона
-
HTTPS с Tomcat и други уеб услуги (MIDlets)
За Unified CM Release 8.0 по-късно тези функции за сигурност се предоставят по подразбиране, без да се изпълнява клиентът на Certificate Trust List (CTL).
Услуга за потвърждаване на довериеТъй като има голям брой телефони в мрежа и IP телефоните имат ограничена памет, Cisco Unified CM действа като отдалечен доверителен магазин чрез услугата за проверка на доверието (TVS), така че да не се налага да се поставя сертификатен доверителен магазин на всеки телефон. IP телефоните на Cisco се свързват със сървъра на TVS за проверка, защото не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен доверителен магазин е по-лесно за управление, отколкото наличието на доверителен магазин на всеки Cisco Unified IP телефон.
TVS позволява на Cisco Unified IP телефони да удостоверяват сървърите на приложения, като EM услуги, директория и MIDlet, по време на създаването на HTTPS.
Първоначален надежден списъкПървоначалният доверителен списък (ITL) файлът се използва за първоначалната сигурност, така че крайните точки да могат да се доверят на Cisco Unified CM. ITL не се нуждае от никакви функции за сигурност, за да бъде активиран изрично. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Unified CM Trivial File Transfer Protocol (TFTP) се използва за подписване на ITL файла.
Когато Cisco Unified CM клъстер или сървър е в несигурен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньорът може да преглежда съдържанието на ITL файл с помощта на командата CLI, admin:show itl.
Cisco IP телефоните се нуждаят от ITL файла, за да изпълняват следните задачи:
-
Комуникирайте сигурно с CAPF, предпоставка за поддръжка на криптирането на конфигурационния файл
-
Удостоверяване на подписа на конфигурационния файл
-
Удостоверяване на сървъри за приложения, като EM услуги, директория и MIDlet по време на създаването на HTTPS с помощта на телевизори
Удостоверяването на устройството, файла и сигнализацията разчитат на създаването на файла Certificate Trust List (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента на Cisco Certificate Trust List.
CTL файлът съдържа записи за следните сървъри или символи за сигурност:
-
Жетони за сигурност на системния администратор (SAST)
-
Cisco CallManager и Cisco TFTP услуги, които работят на един и същ сървър
-
Сертификат орган прокси функция (CAPF)
-
TFTP сървър(и)
-
Защитна стена ASA
CTL файлът съдържа сървърен сертификат, публичен ключ, сериен номер, подпис, име на емитента, име на субекта, функция на сървъра, DNS име и IP адрес за всеки сървър.
Сигурността на телефона с CTL осигурява следните функции:
-
Удостоверяване на изтеглените TFTP файлове (конфигурация, локализация, ринглист и т.н.) с помощта на ключ за подписване
-
Криптиране на TFTP конфигурационни файлове с помощта на ключ за подписване
-
Криптирана сигнализация на повиквания за IP телефони
-
Криптирано аудио повикване (медии) за IP телефони
Специализираната инстанция осигурява регистрация на крайната точка и обработка на повиквания. Сигнализацията между Cisco Unified CM и крайните точки се основава на Secure Skinny Client Control Protocol (SCCP) или Протокола за иницииране на сесия (SIP) и може да бъде криптирана с помощта на сигурност на транспортния слой (TLS). Медиите от/до крайните точки се основават на транспортния протокол в реално време (RTP) и могат да бъдат криптирани с помощта на Secure RTP (SRTP).
Активирането на смесен режим на Unified CM позволява криптиране на сигнализацията и медийния трафик от и до крайните точки на Cisco.
Защитени приложения на UC
Разрешаване на смесен режим в специализирания екземплярСмесеният режим е активиран по подразбиране в специализирания екземпляр.
Активирането на смесен режим в Dedicated Instance дава възможност за извършване на криптиране на сигналния и медийния трафик от и до крайните точки на Cisco.
В Cisco Unified CM release 12.5 (1) беше добавена нова опция за активиране на криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL за клиенти на Jabber и Webex. Следователно, в Unified CM release 12.5(1), SIP OAuth и SRTP могат да се използват за активиране на криптиране за сигнализация и медии за клиенти на Jabber или Webex. Активирането на смесен режим продължава да се изисква за IP телефоните на Cisco и други крайни точки на Cisco по това време. Има план за добавяне на подкрепа за SIP OAuth в 7800/8800 крайни точки в бъдещо освобождаване.
Защита на гласовите съобщенияCisco Unity Connection се свързва с унифициран CM през TLS порта. Когато режимът на сигурност на устройството не е сигурен, Cisco Unity Connection се свързва с Unified CM през SCCP порта.
За да конфигурирате сигурността за Unified CM портове за гласови съобщения и устройства Cisco Unity, които работят с SCCP или Cisco Unity Connection устройства, които работят с SCCP, партньорът може да избере защитен режим на сигурност на устройството за порта. Ако изберете заверен гласов мейл порт, се отваря TLS връзка, която удостоверява устройствата с помощта на взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете криптиран порт за гласова поща, системата първо удостоверява устройствата и след това изпраща криптирани гласови потоци между устройствата.
За повече информация относно портовете за гласови съобщения за сигурност вижте следното: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Сигурност за SRST, багажници, шлюзове, CUBE/SBC
Порталът Cisco Unified Survivable Remote Site Telephony (SRST) осигурява ограничени задачи за обработка на повиквания, ако Cisco Unified CM на специален екземпляр не може да завърши повикването.
Сигурните SRST-активирани шлюзове съдържат самоподписан сертификат. След като партньорът изпълнява задачите за конфигуриране на SRST в Унифицирана CM администрация, Unified CM използва TLS връзка, за да удостовери с услугата Доставчик на сертификати в шлюза с SRST. Унифицираният CM след това извлича сертификата от шлюза с възможност за SRST и добавя сертификата към базата данни Unified CM.
След като партньорът нулира зависимите устройства в Unified CM Administration, TFTP сървърът добавя сертификата за шлюз с възможност за SRST, към файла на телефона cnf.xml и изпраща файла на телефона. След това защитен телефон използва TLS връзка, за да взаимодейства с шлюза, активиран от SRST.
Препоръчва се да има сигурни багажници за повикването, произхождащо от Cisco Unified CM до портала за изходящи PSTN повиквания или преминаване през единния граничен елемент на Cisco (CUBE).
SIP стволове могат да поддържат сигурни повиквания както за сигнализация, така и за медии; TLS осигурява сигнално криптиране, а SRTP осигурява медийно криптиране.
Защита на комуникациите между Cisco Unified CM и CUBE
За сигурни комуникации между Cisco Unified CM и CUBE, партньорите/клиентите трябва да използват или самоподписан сертификат, или CA-подписани сертификати.
За самоподписани сертификати:
-
CUBE и Cisco Unified CM генерират самоподписани сертификати
-
Сертификат за износ на CUBE за Cisco Унифициран CM
-
Cisco Унифициран сертификат за износ на CM за CUBE
За CA-подписани сертификати:
-
Клиентът генерира ключова двойка и изпраща заявка за подписване на сертификат (CSR) до сертифициращия орган (CA)
-
CA го подписва с частния си ключ, създавайки сертификат за самоличност
-
Клиентът инсталира списъка с надеждни CA Root и междинни сертификати и сертификата за самоличност
Защита за отдалечени крайни точки
С крайните точки за мобилен и отдалечен достъп (MRA) сигнализацията и медиите винаги се криптират между крайните точки на MRA и възлите на Expressway. Ако протоколът за установяване на интерактивна свързаност (ICE) се използва за крайни точки на MRA, се изисква сигнализация и медийно криптиране на крайните точки на MRA. Въпреки това, криптирането на сигнализацията и медиите между Expressway-C и вътрешните Unified CM сървъри, вътрешните крайни точки или други вътрешни устройства изискват смесен режим или SIP OAuth.
Cisco Expressway осигурява сигурна пресечна стена и поддръжка от страната на линията за унифицирани CM регистрации. Унифицираният CM осигурява контрол на обажданията както за мобилни, така и за локални крайни точки. Сигнализацията преминава през решението на Expressway между отдалечената крайна точка и Unified CM. Медиите преминават през решението на Expressway и се предават директно между крайните точки. Всички медии са криптирани между Expressway-C и мобилната крайна точка.
Всяко решение за MRA изисква Expressway и Unified CM, със съвместими с MRA меки клиенти и/или фиксирани крайни точки. Решението може по желание да включва услугата за IM и присъствие и връзката за единство.
Резюме на протокола
Следващата таблица показва протоколите и свързаните с тях услуги, използвани в решението Unified CM.
Протокол |
Защита |
Услуга |
---|---|---|
SIP |
TLS |
Създаване на сесията: Регистрирайте, поканете и др. |
Е-мейл |
TLS |
Вход, Провизии/Конфигурация, Директория, Визуална гласова поща |
Мултимедия |
СРТП |
Медии: Аудио, видео, споделяне на съдържание |
КСНУМКС |
TLS |
Незабавни съобщения, присъствие, федерация |
За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Опции за конфигуриране
Специализираният екземпляр предоставя на партньора гъвкавост за персонализиране на услугите за крайните потребители чрез пълен контрол на конфигурациите от втория ден. В резултат на това Партньорът е единствено отговорен за правилното конфигуриране на услугата Dedicated Instance за околната среда на крайния потребител. Това включва, но не само:
-
Избор на сигурни / несигурни повиквания, сигурни / несигурни протоколи като SIP / sSIP, http / https и т.н. и разбиране на всички свързани рискове.
-
За всички MAC адреси, които не са конфигурирани като сигурни SIP в Dedicated Instance, нападателят може да изпрати съобщение SIP Register с помощта на този MAC адрес и да може да извършва SIP повиквания, което води до измами с пътни такси. Условието е, че нападателят може да регистрира своето SIP устройство/софтуер на Dedicated Instance без разрешение, ако знае MAC адреса на устройство, регистрирано в Dedicated Instance .
-
Правилата за повикване на Expressway-E, преобразуването и правилата за търсене трябва да бъдат конфигурирани, за да се предотврати измама с пътни такси. За повече информация относно предотвратяването на измами с пътни такси с помощта на Expressways вижте раздел "Сигурност за автомагистрала С" и "Автомагистрала-Е" на Collaboration SRND.
-
Конфигурация на плана за набиране, за да се гарантира, че потребителите могат да набират само местоназначения, които са разрешени, напр. забрана за национално/международно набиране, правилно маршрутизиране на спешни повиквания и т.н. За повече информация относно прилагането на ограниченията при използване на план за набиране вижте раздела План за набиране в SRND за сътрудничество.
Изисквания за сертификата за защитени връзки в специализирания екземпляр
За специален пример Cisco ще предостави домейна и ще подпише всички сертификати за приложенията на UC, като използва публичен орган за сертификати (CA).
Специализиран екземпляр – номера на портове и протоколи
Следващите таблици описват портовете и протоколите, които се поддържат в специален екземпляр. Портовете, които се използват за даден клиент, зависят от внедряването и решението на Клиента. Протоколите зависят от предпочитанията на клиента (SCCP спрямо SIP), съществуващите локални устройства и какво ниво на защита, за да се определи кои портове да се използват при всяко разгръщане.
Специализираният екземпляр не позволява превод на мрежови адреси (NAT) между крайните точки и Unified CM, тъй като някои от функциите на потока от повиквания няма да работят, например функцията по средата на повикване.
Специален екземпляр – клиентски портове
Портовете, достъпни за клиентите - между локалната и специализираната инстанция на клиента са показани в таблица 1 Специализирани портовеза клиенти. Всички портове, изброени по-долу, са за трафик на клиенти, преминаващ през партньорските връзки.
SNMP портът е отворен по подразбиране само за Cisco Emergency Responder, за да поддържа неговата функционалност. Тъй като не поддържаме партньори или клиенти, наблюдаващи приложенията на UC, разположени в облака на специализиран екземпляр, не позволяваме отваряне на SNMP порт за други приложения на UC.
Портовете в диапазона 5063 до 5080 са резервирани от Cisco за други интеграции в облака, препоръчва се администраторите на партньори или клиенти да не използват тези портове в своите конфигурации.
Протокол |
TCP/UDP |
Източник |
Местоназначение |
Порт източник |
Целеви порт |
Цел |
---|---|---|---|---|---|---|
ССХ |
TCP |
Клиент |
Приложения на UC Не е разрешено за приложения на Cisco Expressway. |
Повече от 1023 |
22 |
Администриране |
tftp |
UDP |
Крайна точка |
Unified CM |
Повече от 1023 |
69 |
Поддръжка на наследени крайни точки |
LDAP |
TCP |
Приложения на UC |
Външна директория |
Повече от 1023 |
389 |
Синхронизиране на директорията с клиента LDAP |
Е-мейл |
TCP |
Браузер |
Приложения на UC |
Повече от 1023 |
443 |
Уеб достъп за самообслужване и административни интерфейси |
Изходяща поща (SECURE) |
TCP |
Приложение на UC |
Артикул: CUCxn |
Повече от 1023 |
587 |
Използва се за съставяне и изпращане на сигурни съобщения до определени получатели |
LDAP (СИГУРНО) |
TCP |
Приложения на UC |
Външна директория |
Повече от 1023 |
636 |
Синхронизиране на директорията с клиента LDAP |
H323 |
TCP |
Шлюз |
Unified CM |
Повече от 1023 |
1720 |
Сигнализация на повиквания |
H323 |
TCP |
Unified CM |
Unified CM |
Повече от 1023 |
1720 |
Сигнализация на повиквания |
г. Москва, |
TCP |
Крайна точка |
Унифицирана CM, CUCxn |
Повече от 1023 |
2000 |
Сигнализация на повиквания |
г. Москва, |
TCP |
Unified CM |
Унифициран CM, Шлюз |
Повече от 1023 |
2000 |
Сигнализация на повиквания |
mgcp |
UDP |
Шлюз |
Шлюз |
Повече от 1023 |
2427 |
Сигнализация на повиквания |
MGCP обратна връзка |
TCP |
Шлюз |
Unified CM |
Повече от 1023 |
2428 |
Сигнализация на повиквания |
SCCP (СИГУРНО) |
TCP |
Крайна точка |
Унифицирана CM, CUCxn |
Повече от 1023 |
2443 |
Сигнализация на повиквания |
SCCP (СИГУРНО) |
TCP |
Unified CM |
Унифициран CM, Шлюз |
Повече от 1023 |
2443 |
Сигнализация на повиквания |
Проверка на доверието |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
2445 |
Предоставяне на услуга за проверка на доверието до крайните точки |
ЦТИ |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
2748 |
Връзка между CTI приложения (JTAPI/TSP) и CTIManager |
Сигурна CTI |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
2749 |
Сигурна връзка между CTI приложения (JTAPI/TSP) и CTIManager |
LDAP Глобален каталог |
TCP |
Приложения на UC |
Външна директория |
Повече от 1023 |
3268 |
Синхронизиране на директорията с клиента LDAP |
LDAP Глобален каталог |
TCP |
Приложения на UC |
Външна директория |
Повече от 1023 |
3269 |
Синхронизиране на директорията с клиента LDAP |
CAPF услуга |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
3804 |
Порт за слушане на прокси функция (CAPF) за издаване на локално значими сертификати (LSC) на IP телефони |
SIP |
TCP |
Крайна точка |
Унифицирана CM, CUCxn |
Повече от 1023 |
5060 |
Сигнализация на повиквания |
SIP |
TCP |
Unified CM |
Унифициран CM, Шлюз |
Повече от 1023 |
5060 |
Сигнализация на повиквания |
SIP (СИГУРНО) |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
5061 |
Сигнализация на повиквания |
SIP (СИГУРНО) |
TCP |
Unified CM |
Унифициран CM, Шлюз |
Повече от 1023 |
5061 |
Сигнализация на повиквания |
СИП (ОАУТ) |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
5090 |
Сигнализация на повиквания |
КСНУМКС |
TCP |
Джабър Клиент |
Сиско ИМ&П |
Повече от 1023 |
5222 |
Незабавни съобщения и присъствие |
HTTP |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
6970 |
Изтегляне на конфигурация и изображения до крайни точки |
Е-мейл |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
6971 |
Изтегляне на конфигурация и изображения до крайни точки |
Е-мейл |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
6972 |
Изтегляне на конфигурация и изображения до крайни точки |
HTTP |
TCP |
Джабър Клиент |
Артикул: CUCxn |
Повече от 1023 |
7080 |
Известия за гласова поща |
Е-мейл |
TCP |
Джабър Клиент |
Артикул: CUCxn |
Повече от 1023 |
7443 |
Сигурни известия за гласова поща |
Е-мейл |
TCP |
Unified CM |
Unified CM |
Повече от 1023 |
7501 |
Използва се от Intercluster Lookup Service (ILS) за удостоверяване въз основа на сертификати |
Е-мейл |
TCP |
Unified CM |
Unified CM |
Повече от 1023 |
7502 |
Използва се от ILS за удостоверяване въз основа на парола |
ИМАП |
TCP |
Джабър Клиент |
Артикул: CUCxn |
Повече от 1023 |
7993 |
IMAP над TLS |
HTTP |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
8080 |
URI на директория за поддръжка на стара крайна точка |
Е-мейл |
TCP |
Браузър, крайна точка |
Приложения на UC |
Повече от 1023 |
8443 |
Уеб достъп за самообслужване и административни интерфейси, UDS |
Е-мейл |
TCP |
Телефон |
Unified CM |
Повече от 1023 |
9443 |
Удостоверено търсене за контакт |
HTTP |
TCP |
Крайна точка |
Unified CM |
Повече от 1023 |
9444 |
Функция за управление на наушниците |
Сигурна RTP/SRTP |
Почетна |
Unified CM |
Телефон |
от 16384 до 32767 * |
от 16384 до 32767 * |
Медии (аудио) - Музика на изчакване, благовестие, Мост на софтуерната конференция (отворен въз основа на сигнализация на повиквания) |
Сигурна RTP/SRTP |
Почетна |
Телефон |
Unified CM |
от 16384 до 32767 * |
от 16384 до 32767 * |
Медии (аудио) - Музика на изчакване, благовестие, Мост на софтуерната конференция (отворен въз основа на сигнализация на повиквания) |
кобри |
TCP |
Клиент |
Артикул: CUCxn |
Повече от 1023 |
20532 |
Архивиране и възстановяване на пакета от приложения |
ИКМП |
ИКМП |
Крайна точка |
Приложения на UC |
няма |
няма |
Ping |
ИКМП |
ИКМП |
Приложения на UC |
Крайна точка |
няма |
няма |
Ping |
DNS | UDP и TCP |
DNS препращане |
DNS сървъри за специализиран екземпляр |
Повече от 1023 |
53 |
DNS препращане в помещението на клиента към DNS сървъри за специализиран екземпляр. Вижте Изисквания за DNS за повече информация. |
* Някои специални случаи могат да използват по-голям диапазон. |
Специализиран екземпляр – OTT портове
Следният порт може да се използва от клиентите и партньорите за настройка на мобилен и отдалечен достъп (MRA):
Протокол |
ТКП/УКП |
Източник |
Местоназначение |
Порт източник |
Целеви порт |
Цел |
---|---|---|---|---|---|---|
СИГУРНА RTP / RTCP |
Почетна |
Expressway C |
Клиент |
Повече от 1023 |
36000-59999 |
Сигурни медии за MRA и B2B разговори |
Външна връзка по SIP между многоклиента и специализиран екземпляр (само за външна връзка, базирана на регистрация)
Следният списък с портове трябва да бъде разрешен в защитната стена на клиента за базираната на регистрация външна връзка по SIP между мултиклиента и специализирания екземпляр.
Протокол |
ТКП/УКП |
Източник |
Местоназначение |
Порт източник |
Целеви порт |
Цел |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Няколко клиента за Webex Calling |
Клиент |
Повече от 1023 |
8000-48198 |
Мултимедия от Webex Calling Multitenant |
Специализиран екземпляр – UCCX портове
Следният списък с портове може да се използва от клиенти и партньори за конфигуриране на UCCX.
Протокол |
ТКП / УКП |
Източник |
Местоназначение |
Порт източник |
Целеви порт |
Цел |
---|---|---|---|---|---|---|
ССХ |
TCP |
Клиент |
Почетна |
Повече от 1023 |
22 |
SFTP и SSH |
Информикс |
TCP |
Клиент или сървър |
Почетна |
Повече от 1023 |
1504 |
Порт на базата данни на Contact Center Express |
SIP |
UDP и TCP |
SIP GW или MCRP сървър |
Почетна |
Повече от 1023 |
5065 |
Комуникация с отдалечени GW и MCRP възли |
КСНУМКС |
TCP |
Клиент |
Почетна |
Повече от 1023 |
5223 |
Сигурна XMPP връзка между сървъра на Finesse и персонализирани приложения на трети страни |
CVD |
TCP |
Клиент |
Почетна |
Повече от 1023 |
6999 |
Редактор на CCX приложения |
Е-мейл |
TCP |
Клиент |
Почетна |
Повече от 1023 |
7443 |
Сигурна BOSH връзка между сървъра на Finesse и настолните компютри на агент и супервайзор за комуникация през HTTPS |
HTTP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8080 |
Клиентите за отчитане на данни на живо се свързват към сървър за сокет.IO |
HTTP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8081 |
Клиентски браузър, който се опитва да получи достъп до уеб интерфейса на Cisco Unified Intelligence Center |
HTTP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8443 |
Администраторски графичен интерфейс, RTMT, DB достъп през SOAP |
Е-мейл |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8444 |
Cisco Унифициран разузнавателен център уеб интерфейс |
Е-мейл |
TCP |
Браузър и REST клиенти |
Почетна |
Повече от 1023 |
8445 |
Сигурно пристанище за Finesse |
Е-мейл |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8447 |
HTTPS - Унифициран разузнавателен център онлайн помощ |
Е-мейл |
TCP |
Клиент |
Почетна |
Повече от 1023 |
8553 |
Компонентите за еднократна идентификация (SSO) имат достъп до този интерфейс, за да знаят операционния статус на Cisco IdS. |
HTTP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
9080 |
Клиенти, които се опитват да получат достъп до HTTP тригери или документи / подкани / граматика / данни на живо. |
Е-мейл |
TCP |
Клиент |
Почетна |
Повече от 1023 |
9443 |
Защитен порт, използван за отговор на клиенти, които се опитват да получат достъп до HTTPS тригери |
TCP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
12014 |
Това е портът, където клиентите за отчитане на живо данни могат да се свързват към сървъра.IO. |
TCP |
TCP |
Клиент |
Почетна |
Повече от 1023 |
12015 |
Това е портът, където клиентите за отчитане на живо данни могат да се свързват към сървъра.IO. |
ЦТИ |
TCP |
Клиент |
Почетна |
Повече от 1023 |
12028 |
CTI клиент на трета страна към CCX |
RTP (медии) |
TCP |
Крайна точка |
Почетна |
Повече от 1023 |
Повече от 1023 |
Медийният порт се отваря динамично, ако е необходимо |
RTP (медии) |
TCP |
Клиент |
Крайна точка |
Повече от 1023 |
Повече от 1023 |
Медийният порт се отваря динамично, ако е необходимо |
Защита на клиента
Осигуряване на Jabber и Webex със SIP OAuth
Клиентите на Jabber и Webex се удостоверяват чрез OAuth токен вместо локално значим сертификат (LSC), който не изисква активиране на прокси функцията на сертифициращия орган (CAPF) (и за MRA). SIP OAuth, работещ със или без смесен режим, е въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.
В Cisco Unified CM 12.5 имаме нова опция в профила за сигурност на телефона, която позволява криптиране без LSC / CAPF, като използваме единичен защитен слой (TLS) + OAuth токен в SIP REGISTER. Автомагистралите-C възли използват API за административна XML уеб услуга (AXL), за да информират Cisco Unified CM за SN/SAN в сертификата си. Cisco Unified CM използва тази информация, за да валидира сертификата Exp-C при установяване на взаимна TLS връзка.
SIP OAuth позволява медийно и сигнално криптиране без сертификат за крайна точка (LSC).
Cisco Jabber използва ефимерни портове и сигурни портове 6971 и 6972 порта чрез HTTPS връзка към TFTP сървъра, за да изтеглите конфигурационните файлове. Port 6970 е незащитен порт за изтегляне чрез HTTP.
Повече подробности за конфигурацията SIP OAuth: Режим SIP OAuth.
Изисквания за DNS
За специализирания екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат ..wxc-di.webex.com например, xyz.amer.wxc-di.webex.com.
Стойността на "клиента" се предоставя от администратора като част от съветника за настройка за първи път (FTSW). За повече информация вижте Активиране на услугата за специални инстанции.
DNS записите за този FQDN трябва да бъдат разрешени от вътрешния DNS сървър на клиента, за да поддържат локални устройства, свързващи се със Специализирания инстанция. За да се улесни резолюцията, клиентът трябва да конфигурира условен спедитор, за този FQDN, на своя DNS сървър, сочещ към услугата DNS на специален екземпляр. Услугата за DNS на специализиран екземпляр е регионална и може да бъде достигната чрез обмен на данни със специализиран екземпляр, като се използват следните IP адреси, както са посочени в таблицата по-долу IP адрес на DNS услуга за специализиран екземпляр.
Регион/DC | Специален екземпляр DNS услуга IP адрес |
Условен пример за препращане |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Всс |
69.168.17.100 |
|
ДФВ |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Почетна |
178.215.138.100 |
|
АМС |
178.215.138.228 |
|
ЕС |
<customer>.eu.wxc-di.webex.com |
|
между |
178.215.131.100 |
|
АМС |
178.215.131.228 |
|
APAC |
<customer>.apjc.wxc-di.webex.com |
|
Грях |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Мел |
178.215.128.100 |
|
Сид |
178.215.128.228 |
|
Обединено кралство |
<customer>.uk.wxc-di.webex.com | |
Почетна |
178.215.135.100 |
|
мъж |
178.215.135.228 |
Опцията ping е деактивирана за посочените по-горе IP адреси на DNS сървъра от съображения за сигурност.
Докато не бъде въведено условното препращане, устройствата няма да могат да се регистрират в специализирания екземпляр от вътрешната мрежа на клиентите чрез партньорските връзки. Условното препращане не се изисква за регистрация чрез мобилен и отдалечен достъп (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително осигурени от Cisco.
Когато използвате приложението Webex като мек клиент на повикване в Dedicated Instance, трябва да бъде конфигуриран профил на UC Manager в контролния хъб за домейна за гласови услуги на всеки регион (VSD). За повече информация вижте профилите на UC Manager в контролния центърна Cisco Webex. Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без намеса на крайния потребител.
Домейнът за гласови услуги ще бъде предоставен на клиента като част от документа за достъп на партньора, след като активирането на услугата приключи.
Използване на локален маршрутизатор за разрешаване на DNS на телефона
За телефони, които нямат достъп до корпоративните DNS сървъри, е възможно да използвате локален маршрутизатор на Cisco за препращане на DNS заявки към DNS в облака на специализиран екземпляр. Това премахва необходимостта от разполагане на локален DNS сървър и осигурява пълна DNS поддръжка, включително кеширане.
Примерна конфигурация :
!
ip DNS сървър
IP сървър за име
!
Използването на DNS в този модел на разполагане е специфично за телефоните и може да се използва само за решаване на FQDN с домейна от специализирания екземпляр на клиентите.
Препратки
-
Cisco сътрудничество 12.x решение референтни мрежови дизайни (SRND), тема за сигурност: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Ръководство за сигурност за Cisco Унифициран мениджър комуникации: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html