Мрежови изисквания за специален екземпляр
Webex Calling Dedicated Instance е част от портфолиото на Cisco Cloud Calling, захранвано от технологията за сътрудничество на Cisco Unified Communications Manager (Cisco Unified CM). Специализиран инстанция предлага решения за глас, видео, съобщения и мобилност с функциите и предимствата на IP телефоните, мобилните устройства и настолните клиенти на Cisco, които се свързват сигурно към Специализирания инстанция.
Тази статия е предназначена за мрежови администратори, особено администратори на защитна стена и прокси сървъри, които искат да използват специален екземпляр в рамките на своята организация. Този документ основно се фокусира върху мрежовите изисквания и сигурността за решението за Специализирани инстанции, включително многослойния подход към функциите и функционалността, които осигуряват защитен физически достъп, защитена мрежа, защитени крайни точки и защитени Cisco UC приложения.
Общ преглед на сигурността: Сигурност в слоеве
Специализираният екземпляр използва многопластов подход за сигурност. Слоевете включват:
Физически достъп
Мрежа
Крайни точки
UC приложения
Следните раздели описват слоевете на сигурност при внедряването на Специализиран екземпляр.
Физическа охрана
Важно е да се осигури физическа сигурност на местоположенията на Equinix Meet-Me Room и съоръженията в центъра за данни на Специализиран инстанция на Cisco. Когато физическата сигурност е компрометирана, могат да бъдат инициирани прости атаки като прекъсване на услугата чрез изключване на захранването на ключовете на клиента. С физически достъп нападателите могат да получат достъп до сървърни устройства, да нулират пароли и да получат достъп до комутатори. Физическият достъп също така улеснява по-сложни атаки, като например атаки човек в средата, поради което вторият слой на сигурността, мрежовата сигурност, е от решаващо значение.
Самокриптиращите се устройства се използват в центрове за данни за специализирани инстанции, които хостват UC приложения.
За повече информация относно общите практики за сигурност вижте документацията на следното място: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Мрежова сигурност
Партньорите трябва да гарантират, че всички мрежови елементи са защитени в инфраструктурата на Специализиран екземпляр (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добрите практики за сигурност като:
Отделна VLAN за глас и данни
Активирайте защитата на порта, която ограничава броя на разрешените MAC адреси на порт срещу заливане на CAM таблица
IP Source Guard срещу фалшиви IP адреси
Dynamic ARP Inspection (DAI) проверява протокола за разрешаване на адреси (ARP) и безвъзмездния ARP (GARP) за нарушения (срещу ARP спуфинг)
802.1x ограничава мрежовия достъп до удостоверяване на устройства на присвоени VLAN (телефоните поддържат 802.1x)
Конфигуриране на качеството на услугата (QoS) за подходящо маркиране на гласови пакети
Конфигурации на портове на защитната стена за блокиране на всеки друг трафик
Сигурност на крайните точки
Крайните точки на Cisco поддържат функции за защита по подразбиране, като подписан фърмуер, сигурно зареждане (избрани модели), инсталиран сертификат от производителя (MIC) и подписани конфигурационни файлове, които осигуряват определено ниво на сигурност за крайните точки.
В допълнение, партньор или клиент може да активира допълнителна сигурност, като например:
Шифроване на IP телефонни услуги (чрез HTTPS) за услуги като Extension Mobility
Издаване на локално значими сертификати (LSC) от прокси функцията на сертифициращия орган (CAPF) или публичен сертифициращ орган (CA)
Шифроване на конфигурационни файлове
Шифроване на медии и сигнализация
Деактивирайте тези настройки, ако не се използват: PC порт, PC Voice VLAN достъп, безплатен ARP, уеб достъп, бутон за настройки, SSH, конзола
Внедряването на механизми за сигурност в Специализирания екземпляр предотвратява кражба на самоличност на телефоните и Unified CM сървъра, подправяне на данни и подправяне на сигнали за обаждания/медиен поток.
Специализиран екземпляр през мрежата:
Създава и поддържа удостоверени комуникационни потоци
Подписва цифрово файлове, преди да прехвърлите файла в телефона
Криптира медийни потоци и сигнализиране на повиквания между Cisco Unified IP телефони
Защитата по подразбиране предоставя следните автоматични функции за защита за Cisco Unified IP телефони:
Подписване на конфигурационните файлове на телефона
Поддръжка за криптиране на конфигурационния файл на телефона
HTTPS с Tomcat и други уеб услуги (MIDlets)
За Unified CM Release 8.0 по-късно тези функции за защита се предоставят по подразбиране, без да се изпълнява клиентът за доверителен списък на сертификати (CTL).
Тъй като има голям брой телефони в мрежата и IP телефоните имат ограничена памет, Cisco Unified CM действа като отдалечено хранилище за доверие чрез услугата за проверка на доверието (TVS), така че не е необходимо да се поставя хранилище за доверие на сертификати на всеки телефон. IP телефоните на Cisco се свързват със сървъра на TVS за проверка, тъй като не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен хранилище за доверие е по-лесно за управление, отколкото съхраняването на доверие на всеки Cisco Unified IP телефон.
TVS позволява на Cisco Unified IP телефони да удостоверяват сървъри на приложения, като EM услуги, директория и MIDlet, по време на установяване на HTTPS.
Файлът Initial Trust List (ITL) се използва за първоначална защита, така че крайните точки да могат да се доверяват на Cisco Unified CM. ITL не се нуждае от никакви функции за сигурност, за да бъдат изрично активирани. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Unified CM Trivial File Transfer Protocol (TFTP) се използва за подписване на ITL файла.
Когато Cisco Unified CM клъстерът или сървърът е в незащитен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньорът може да види съдържанието на ITL файл с помощта на CLI командата, admin:show itl.
IP телефоните на Cisco се нуждаят от ITL файла, за да изпълняват следните задачи:
Комуникирайте сигурно с CAPF, предпоставка за поддържане на криптиране на конфигурационния файл
Удостоверете подписа на конфигурационния файл
Удостоверяване на сървъри на приложения, като EM услуги, директория и MIDlet по време на установяване на HTTPS с помощта на TVS
Удостоверяването на устройство, файл и сигнализация разчитат на създаването на файла със списъка за доверие на сертификати (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента Cisco Certificate Trust List.
CTL файлът съдържа записи за следните сървъри или токени за сигурност:
Токен за сигурност на системния администратор (SAST)
Услугите на Cisco CallManager и Cisco TFTP, които се изпълняват на един и същ сървър
Прокси функция на сертифициращия орган (CAPF)
TFTP сървър(и)
ASA защитна стена
CTL файлът съдържа сървърен сертификат, публичен ключ, сериен номер, подпис, име на издател, име на тема, функция на сървъра, DNS име и IP адрес за всеки сървър.
Защитата на телефона с CTL предоставя следните функции:
Удостоверяване на изтеглени от TFTP файлове (конфигурация, локал, списък на звънене и т.н.) с помощта на ключ за подписване
Шифроване на TFTP конфигурационни файлове с помощта на ключ за подписване
Шифрована сигнализация за повиквания за IP телефони
Шифровано аудио за разговори (медия) за IP телефони
Специализираният екземпляр осигурява регистрация на крайна точка и обработка на повиквания. Сигнализирането между Cisco Unified CM и крайните точки се основава на протокола за управление на защитения слаб клиент (SCCP) или протокола за иницииране на сесия (SIP) и може да бъде криптиран с помощта на сигурност на транспортния слой (TLS). Медиите от/към крайните точки се базират на транспортен протокол в реално време (RTP) и могат да бъдат криптирани с помощта на защитен RTP (SRTP).
Активирането на смесен режим на Unified CM позволява криптиране на сигналния и медиен трафик от и към крайните точки на Cisco.
Защитени UC приложения
Смесеният режим не е активиран по подразбиране в Специализиран екземпляр.
Активирането на смесен режим в Специален екземпляр дава възможност за извършване на криптиране на сигналния и медиен трафик от и към крайните точки на Cisco.
В Cisco Unified CM версия 12.5(1) беше добавена нова опция за активиране на криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL за клиенти на Jabber и Webex. Следователно, в Unified CM версия 12.5(1), SIP OAuth и SRTP могат да се използват за активиране на криптиране за сигнализиране и медия за клиенти на Jabber или Webex. Активирането на смесен режим продължава да се изисква за IP телефони на Cisco и други крайни точки на Cisco понастоящем. Има план за добавяне на поддръжка за SIP OAuth в крайни точки 7800/8800 в бъдеща версия.
Cisco Unity Connection се свързва с Unified CM през TLS порта. Когато режимът на защита на устройството не е защитен, Cisco Unity Connection се свързва с Unified CM през SCCP порта.
За да конфигурирате сигурността за портове за гласови съобщения на Unified CM и устройства на Cisco Unity, които работят с SCCP или устройства за Cisco Unity Connection, които изпълняват SCCP, партньорът може да избере защитен режим на защита на устройството за порта. Ако изберете удостоверен порт за гласова поща, се отваря TLS връзка, която удостоверява устройствата чрез взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете шифрован порт за гласова поща, системата първо удостоверява устройствата и след това изпраща криптирани гласови потоци между устройствата.
За повече информация относно портовете за защита на гласови съобщения вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Сигурност за SRST, Trunks, Gateways, CUBE/SBC
Шлюзът с активиран Cisco Unified Survivable Remote Site Telephony (SRST) предоставя ограничени задачи за обработка на повиквания, ако Cisco Unified CM на Специализиран екземпляр не може да завърши обаждането.
Защитените шлюзове с активиран SRST съдържат самоподписан сертификат. След като партньор изпълнява задачи за конфигуриране на SRST в Unified CM Administration, Unified CM използва TLS връзка за удостоверяване с услугата на доставчика на сертификати в шлюза с активиран SRST. След това Unified CM извлича сертификата от шлюза с активиран SRST и добавя сертификата към Unified CM база данни.
След като партньорът нулира зависимите устройства в Unified CM Administration, TFTP сървърът добавя сертификата за шлюз с активиран SRST към файла cnf.xml на телефона и изпраща файла до телефона. След това защитен телефон използва TLS връзка, за да взаимодейства с шлюза с активиран SRST.
Препоръчително е да имате защитени канали за повикване от Cisco Unified CM към шлюза за изходящи PSTN повиквания или преминаване през Cisco Unified Border Element (CUBE).
SIP каналите могат да поддържат защитени повиквания както за сигнализиране, така и за медии; TLS осигурява криптиране на сигнализация, а SRTP осигурява криптиране на медиите.
Осигуряване на комуникации между Cisco Unified CM и CUBE
За сигурна комуникация между Cisco Unified CM и CUBE, партньорите/клиентите трябва да използват или самоподписан сертификат, или сертификат, подписан от CA.
За самоподписани сертификати:
CUBE и Cisco Unified CM генерират самоподписани сертификати
CUBE експортира сертификат към Cisco Unified CM
Cisco Unified CM експортира сертификат към CUBE
За сертификати, подписани от CA:
Клиентът генерира двойка ключове и изпраща заявка за подписване на сертификат (CSR) до сертифициращия орган (CA)
CA го подписва със своя частен ключ, създавайки сертификат за самоличност
Клиентът инсталира списъка с доверени CA коренни и междинни сертификати и сертификата за самоличност
Сигурност за отдалечени крайни точки
С крайните точки за мобилен и отдалечен достъп (MRA), сигнализацията и медиите винаги са криптирани между крайните точки на MRA и възлите на Expressway. Ако протоколът за установяване на интерактивна връзка (ICE) се използва за крайни точки на MRA, се изисква сигнализиране и медийно криптиране на крайните точки на MRA. Въпреки това, криптирането на сигнализацията и медиите между Expressway-C и вътрешните Unified CM сървъри, вътрешни крайни точки или други вътрешни устройства изисква смесен режим или SIP OAuth.
Cisco Expressway осигурява защитено преминаване през защитна стена и поддръжка от страната на линията за Unified CM регистрации. Unified CM осигурява контрол на повикванията както за мобилни, така и за локални крайни точки. Сигнализирането преминава през решението Expressway между отдалечената крайна точка и Unified CM. Медиите преминават през решението на Expressway и се предават директно между крайните точки. Всички медии са криптирани между Expressway-C и мобилната крайна точка.
Всяко MRA решение изисква Expressway и Unified CM, с MRA-съвместими меки клиенти и/или фиксирани крайни точки. Решението може по избор да включва услугата за IM и Presence и Unity Connection.
Резюме на протокола
Следващата таблица показва протоколите и свързаните услуги, използвани в решението Unified CM.
Протокол |
Защита |
Услуга |
---|---|---|
SIP |
TLS |
Създаване на сесия: Регистрирайте се, поканете и т.н. |
HTTPS |
TLS |
Влизане, осигуряване/конфигуриране, директория, визуална гласова поща |
Мултимедия |
SRTP |
Медия: Аудио, видео, споделяне на съдържание |
XMPP |
TLS |
Незабавни съобщения, присъствие, федерация |
За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Опции за конфигурация
Специализираният екземпляр предоставя на партньора гъвкавост за персонализиране на услугите за крайните потребители чрез пълен контрол върху конфигурациите от втория ден. В резултат на това Партньорът е единствено отговорен за правилното конфигуриране на услугата Специален екземпляр за средата на крайния потребител. Това включва, но не само:
Избор на сигурни/незащитени повиквания, защитени/несигурни протоколи като SIP/sSIP, http/https и т.н. и разбиране на всички свързани рискове.
За всички MAC адреси, които не са конфигурирани като защитен SIP в Специализиран екземпляр, нападателят може да изпрати съобщение за SIP регистър, използвайки този MAC адрес и да може да извършва SIP повиквания, което води до измами с пътни такси. Предпоставката е, че нападателят може да регистрира своето SIP устройство/софтуер в Специализиран екземпляр без оторизация, ако знае MAC адреса на устройство, регистрирано в Специализиран екземпляр.
Правилата за обаждания на Expressway-E, правилата за трансформиране и търсене трябва да бъдат конфигурирани, за да се предотвратят измами с пътни такси. За повече информация относно предотвратяването на измами с пътни такси чрез Expressways вижте раздела „Сигурност за скоростна магистрала C и Expressway-E“ на Сътрудничество SRND.
Конфигурация на плана за набиране, за да се гарантира, че потребителите могат да набират само дестинации, които са разрешени, напр. забрана на национално/международно набиране, спешните повиквания се пренасочват правилно и т.н. За повече информация относно прилагането на ограничения чрез план за набиране вижте раздела План за набиране на Сътрудничество SRND.
Изисквания за сертификати за защитени връзки в специален екземпляр
За специален екземпляр Cisco ще предостави домейна и ще подпише всички сертификати за UC приложенията, използвайки публичен сертифициращ орган (CA).
Специализиран екземпляр – номера на портове и протоколи
Следните таблици описват портовете и протоколите, които се поддържат в Специализиран екземпляр. Портовете, които се използват за даден клиент, зависят от внедряването и решението на Клиента. Протоколите зависят от предпочитанията на клиента (SCCP срещу SIP), съществуващите локални устройства и какво ниво на сигурност да се определи кои портове да се използват при всяко внедряване.
Специализиран екземпляр – клиентски портове
Портовете, които са достъпни за клиентите – между помещението на Клиента и Специализирания екземпляр, са показани в Таблица 1 Потребителски портове за Специализиран екземпляр. Всички изброени по-долу портове са за клиентски трафик, преминаващ през връзките за пиринг.
SNMP портът се поддържа само за CER функционалност, но не и за други инструменти за наблюдение на трети страни. |
Портовете в диапазона от 5063 до 5080 са запазени от Cisco за други облачни интеграции, препоръчва се на администраторите на партньори или клиенти да не използват тези портове в своите конфигурации. |
Протокол |
TCP/UCP |
Източник |
Дестинация |
Изходен порт |
Пристанище на дестинацията |
Предназначение |
---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UC приложения |
По-голямо от 1023 |
22 |
Администриране |
LDAP |
TCP |
UC приложения |
Външен указател |
По-голямо от 1023 |
389 |
Синхронизиране на директория с LDAP на клиента |
HTTPS |
TCP |
Браузър |
UC приложения |
По-голямо от 1023 |
443 |
Уеб достъп за самообслужване и административни интерфейси |
LDAP (СИГУРЕН) |
TCP |
UC приложения |
Външен указател |
По-голямо от 1023 |
636 |
Синхронизиране на директория с LDAP на клиента |
SCCP |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голямо от 1023 |
2000 г |
Сигнализация за повикване |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
По-голямо от 1023 |
2000 г |
Сигнализация за повикване |
SCCP (СИГУРЕН) |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голямо от 1023 |
2443 |
Сигнализация за повикване |
SCCP (СИГУРЕН) |
TCP |
Unified CM |
Unified CM, Gateway |
По-голямо от 1023 |
2443 |
Сигнализация за повикване |
Проверка на доверието |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
2445 |
Предоставяне на услуга за проверка на доверие на крайни точки |
CTI |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
2748 |
Връзка между CTI приложения (JTAPI/TSP) и CTIManager |
Сигурен CTI |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
2749 |
Сигурна връзка между CTI приложения (JTAPI/TSP) и CTIManager |
Глобален каталог на LDAP |
TCP |
UC приложения |
Външен указател |
По-голямо от 1023 |
3268 |
Синхронизиране на директория с LDAP на клиента |
Глобален каталог на LDAP |
TCP |
UC приложения |
Външен указател |
По-голямо от 1023 |
3269 |
Синхронизиране на директория с LDAP на клиента |
CAPF Service |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
3804 |
Порт за слушане на прокси функция на сертифициращия орган (CAPF) за издаване на локално значими сертификати (LSC) към IP телефони |
SIP |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голямо от 1023 |
5060 |
Сигнализация за повикване |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
По-голямо от 1023 |
5060 |
Сигнализация за повикване |
SIP (СИГУРНО) |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
5061 |
Сигнализация за повикване |
SIP (СИГУРНО) |
TCP |
Unified CM |
Unified CM, Gateway |
По-голямо от 1023 |
5061 |
Сигнализация за повикване |
SIP (OAUTH) |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
5090 |
Сигнализация за повикване |
XMPP |
TCP |
Jabber клиент |
Cisco IM&P |
По-голямо от 1023 |
5222 |
Незабавни съобщения и присъствие |
HTTP |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
6970 |
Изтегляне на конфигурация и изображения до крайни точки |
HTTPS |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
6971 |
Изтегляне на конфигурация и изображения до крайни точки |
HTTPS |
TCP |
Крайна точка |
Unified CM |
По-голямо от 1023 |
6972 |
Изтегляне на конфигурация и изображения до крайни точки |
HTTP |
TCP |
Jabber клиент |
CUCxn |
По-голямо от 1023 |
7080 |
Известия за гласова поща |
HTTPS |
TCP |
Jabber клиент |
CUCxn |
По-голямо от 1023 |
7443 |
Сигурни известия за гласова поща |
HTTPS |
TCP |
Unified CM |
Unified CM |
По-голямо от 1023 |
7501 |
Използва се от Intercluster Lookup Service (ILS) за удостоверяване, базирано на сертификати |
HTTPS |
TCP |
Unified CM |
Unified CM |
По-голямо от 1023 |
7502 |
Използва се от ILS за удостоверяване, базирано на парола |
IMAP |
TCP |
Jabber клиент |
CUCxn |
По-голямо от 1023 |
7993 |
IMAP през TLS |
HTTPS |
TCP |
Браузър, крайна точка |
UC приложения |
По-голямо от 1023 |
8443 |
Уеб достъп за самообслужване и административни интерфейси, UDS |
HTTPS |
TCP |
Прем |
Unified CM |
По-голямо от 1023 |
9443 |
Търсене на удостоверен контакт |
Сигурен RTP/SRTP |
UDP |
Unified CM |
Телефон |
16384 до 32767 * |
16384 до 32767 * |
Медия (аудио) - музика на задържане, сигнализатор, софтуерен конферентен мост (отворен въз основа на сигнализиране на повикване) |
Сигурен RTP/SRTP |
UDP |
Телефон |
Unified CM |
16384 до 32767 * |
16384 до 32767 * |
Медия (аудио) - музика на задържане, сигнализатор, софтуерен конферентен мост (отворен въз основа на сигнализиране на повикване) |
ICMP |
ICMP |
Крайна точка |
UC приложения |
няма |
няма |
Ping |
ICMP |
ICMP |
UC приложения |
Крайна точка |
няма |
няма |
Ping |
* Някои специални случаи могат да използват по-голям обхват. |
Специализиран екземпляр – OTT портове
Следният списък с портове може да се използва от клиенти и партньори за настройка на мобилен и отдалечен достъп (MRA):
Протокол |
TCP/UCP |
Източник |
Дестинация |
Изходен порт |
Пристанище на дестинацията |
Предназначение |
---|---|---|---|---|---|---|
СИГУРНА глътка |
TCP |
Крайна точка |
Автомагистрала Е |
По-голямо от 1023 |
5061 |
Сигурна SIP сигнализация За MRA регистрация и разговори |
СИГУРНА глътка |
TCP |
Крайна точка/сървър |
Автомагистрала Е |
По-голямо от 1023 |
5062 |
Сигурен SIP за B2B разговори |
СИГУРЕН RTP/RTCP |
UDP |
Крайна точка/сървър |
Автомагистрала Е |
По-голямо от 1023 |
36000-59999 |
Сигурна медия за MRA и B2B разговори |
HTTPS (ЗАЩИЩЕН) |
TLS |
Клиент |
Автомагистрала Е |
По-голямо от 1023 |
8443 |
CUCM UDS и CUCxn REST за MRA разговори |
XMLS |
TLS |
Клиент |
Автомагистрала Е |
По-голямо от 1023 |
5222 |
IM и присъствие |
ОБЪРНЕТЕ |
UDP |
ICE клиент |
Автомагистрала Е |
По-голямо от 1023 |
3478 |
Договаряне ICE/STUN/TURN |
СИГУРЕН RTP/RTCP |
UPD |
ICE клиент |
Автомагистрала Е |
По-голямо от 1023 |
24000-29999 |
TURN медия за ICE резервен |
Специализиран екземпляр – UCCX портове
Следният списък с портове може да се използва от клиенти и партньори за конфигуриране на UCCX.
Протокол |
TCP / UCP |
Източник |
Дестинация |
Изходен порт |
Пристанище на дестинацията |
Предназначение |
---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
22 |
SFTP и SSH |
Informix |
TCP |
Клиент или сървър |
UCCX |
По-голямо от 1023 |
1504 г |
Порт за унифицирана база данни CCX |
SIP |
UDP и TCP |
SIP GW или MCRP сървър |
UCCX |
По-голямо от 1023 |
5065 |
Комуникация към отдалечени GW и MCRP възли |
XMPP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
5223 |
Сигурна XMPP връзка между сървъра на Finesse и персонализирани приложения на трети страни |
ССЗ |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
6999 |
Редактор към CCX приложения |
HTTPS |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
7443 |
Сигурна BOSH връзка между сървъра на Finesse и настолните компютри на агенти и надзорници за комуникация през HTTPS |
HTTP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8080 |
Клиентите за отчитане на данни на живо се свързват със сървъра socket.IO |
HTTP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8081 |
Клиентски браузър, който се опитва да получи достъп до уеб интерфейса на Cisco Unified Intelligence Center |
HTTP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8443 |
Администраторски GUI, RTMT, DB достъп чрез SOAP |
HTTPS |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8444 |
Уеб интерфейс на Cisco Unified Intelligence Center |
HTTPS |
TCP |
Браузър и REST клиенти |
UCCX |
По-голямо от 1023 |
8445 |
Сигурен порт за Finesse |
HTTPS |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8447 |
HTTPS – онлайн помощ за Unified Intelligence Center |
HTTPS |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
8553 |
Компонентите за единичен вход (SSO) имат достъп до този интерфейс, за да знаят работния статус на Cisco IdS. |
HTTP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
9080 |
Клиенти, които се опитват да получат достъп до HTTP тригери или документи / подкани / граматики / живи данни. |
HTTPS |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
9443 |
Сигурен порт, използван за отговор на клиенти, опитващи се да получат достъп до HTTPS тригери |
TCP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
12014 г |
Това е портът, където клиентите за отчитане на данни на живо могат да се свържат със сървъра socket.IO |
TCP |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
12015 г |
Това е портът, където клиентите за отчитане на данни на живо могат да се свържат със сървъра socket.IO |
CTI |
TCP |
Клиент |
UCCX |
По-голямо от 1023 |
12028 |
CTI клиент на трета страна към CCX |
RTP (медия) |
TCP |
Крайна точка |
UCCX |
По-голямо от 1023 |
По-голямо от 1023 |
Медийният порт се отваря динамично според нуждите |
RTP (медия) |
TCP |
Клиент |
Крайна точка |
По-голямо от 1023 |
По-голямо от 1023 |
Медийният порт се отваря динамично според нуждите |
Сигурност на клиента
Осигуряване на Jabber и Webex със SIP OAuth
Клиентите на Jabber и Webex се удостоверяват чрез токен OAuth вместо локално значим сертификат (LSC), който не изисква активиране на прокси функцията на сертифициращия орган (CAPF) (и за MRA). SIP OAuth, работещ със или без смесен режим, беше въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.
В Cisco Unified CM 12.5 имаме нова опция в профила за защита на телефона, която позволява криптиране без LSC/CAPF, като се използва защита на единичен транспортен слой (TLS) + OAuth токен в SIP REGISTER. Възлите на Expressway-C използват API за административна XML уеб услуга (AXL), за да информират Cisco Unified CM за SN/SAN в техния сертификат. Cisco Unified CM използва тази информация за валидиране на сертификата Exp-C при установяване на взаимна TLS връзка.
SIP OAuth позволява криптиране на медии и сигнализация без сертификат за крайна точка (LSC).
Cisco Jabber използва ефимерни портове и защитени портове 6971 и 6972 портове чрез HTTPS връзка към TFTP сървъра, за да изтегли конфигурационните файлове. Порт 6970 е незащитен порт за изтегляне чрез HTTP.
Повече подробности за конфигурацията на SIP OAuth: SIP OAuth режим.
Изисквания за DNS
За специален екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат <customer>.<region>.wxc-di.webex.com например xyz.amer.wxc- di.webex.com.
Стойността „клиент“ се предоставя от администратора като част от Съветника за първа настройка (FTSW). За повече информация вижте Активиране на услуга за специален екземпляр.
DNS записите за това FQDN трябва да могат да бъдат разрешавани от вътрешния DNS сървър на клиента, за да поддържат локални устройства, свързващи се към Специализирания екземпляр. За да се улесни разрешаването, клиентът трябва да конфигурира условен пренасочващ за това FQDN на своя DNS сървър, насочващ към услугата DNS за Специализиран екземпляр. DNS услугата за Специализиран екземпляр е регионална и може да бъде достигната чрез пиринг към Специализиран екземпляр, като се използват следните IP адреси, както е посочено в таблицата по-долу IP адрес на DNS услугата за специален екземпляр.
Регион/DC |
IP адрес на DNS услугата за специален инстанция | Пример за условно препращане |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
ВСС |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
APAC |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
ГРЕХ |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Опцията ping е деактивирана за гореспоменатите IP адреси на DNS сървъра от съображения за сигурност. |
Докато условното пренасочване не е на място, устройствата няма да могат да се регистрират в Специализирания екземпляр от вътрешната мрежа на клиента чрез връзките за пиринг. Условно препращане не се изисква за регистрация чрез мобилен и отдалечен достъп (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително предоставени от Cisco.
Когато използвате приложението Webex като ваш софтуерен клиент за обаждания на специален екземпляр, профилът на UC Manager трябва да бъде конфигуриран в Control Hub за домейна на гласовата услуга (VSD) на всеки регион. За повече информация вижте Профили на UC Manager в Cisco Webex Control Hub. Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без намеса на крайния потребител.
Домейнът за гласова услуга ще бъде предоставен на клиента като част от документа за достъп до партньора, след като активирането на услугата приключи. |
Препратки
Референтни мрежови проекти за решение за Cisco Collaboration 12.x (SRND), Тема за сигурността: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Ръководство за сигурност за Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html