Мрежови изисквания за специализиран екземпляр
Webex Calling Dedicated Instance е част от портфолиото cisco Cloud Calling, захранвано от технологията за сътрудничество Cisco Unified Communications Manager (Cisco Unified CM). Специализиран Instance предлага гласови, видео, съобщения и решения за мобилност с функциите и ползите от Cisco IP телефони, мобилни устройства и настолни клиенти, които се свързват сигурно с посветения екземпляр.
Тази статия е предназначена за мрежови администратори, особено администратори на защитна стена и прокси защита, които искат да използват специализиран екземпляр в рамките на своята организация. Този документ се фокусира предимно върху мрежовите изисквания и защитата за решение "Специален екземпляр", включително слоестата подход към функциите и функционалността, които осигуряват защитен физически достъп, защитена мрежа, сигурни крайни точки и защитени приложения на Cisco UC.
Общ преглед на защитата: Сигурност в слоеве
Специализиран екземпляр използва напластен подход за защита. Слоевете включват:
Физически достъп
Мрежа
Крайни точки
UC приложения
Следващите раздели описват слоевете на сигурността в разгръщания на специализиран екземпляр .
Физическа сигурност
Важно е да осигурите физическа сигурност на местата на Equinix Meet-Me Room и съоръженията на Cisco Dedicated Instance Data Center. Когато физическата защита е компрометирана, могат да се инициират прости атаки като прекъсване на услугата чрез изключване на захранването към превключвателите на клиента. С физически достъп нападателите биха могли да получат достъп до сървърни устройства, да нулират паролите и да получат достъп до превключватели. Физическият достъп също така улеснява по-изтънчените атаки като атаки "човек по средата", поради което вторият слой за сигурност , мрежовата сигурност, е критичен.
Самошифроващи устройства се използват в центрове за данни за специализиран екземпляр , които хостват UC приложения.
За повече информация относно общите практики за сигурност вижте документацията на следното място: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Мрежова защита
Партньорите трябва да гарантират, че всички мрежови елементи са обезпечени в инфраструктурата на Специализиран екземпляр (която се свързва чрез Equinix). Отговорност на партньора е да гарантира най-добрите практики за сигурност като:
Отделен VLAN за глас и данни
Разрешаване на защитата на портове, която ограничава броя на MAC адресите, разрешени на порт, срещу НАВОДНЯВАНЕ НА CAM таблица
IP източник Guard срещу подправен IP адреси
Динамичната ARP инспекция (DAI) разглежда протокола за решаване на адреси (ARP) и безпристоен ARP (GARP) за нарушения (срещу Подправяне на ARP)
802.1x ограничава мрежовия достъп до удостоверителни устройства на присвоени VLANs (телефоните наистина поддържат 802.1x)
Конфигурация на качеството на услугата (QoS) за подходящо маркиране на гласови пакети
Конфигурации на портовете на защитната стена за блокиране на всеки друг трафик
Защита на крайни точки
Cisco крайни точки поддържат функции по подразбиране за защита като подписан фърмуер, защитено зареждане (избрани модели), производител инсталиран сертификат (MIC), и подписани конфигурационни файлове, които осигуряват определено ниво на защита за крайни точки.
Освен това партньор или клиент може да разреши допълнителна защита, като например:
Криптиране на IP телефонни услуги (чрез HTTPS) за услуги като Мобилност с разширение
Издаване на локално значими сертификати (LSCs) от функцията за пълномощни на сертифициращия орган (CAPF) или орган за публичен сертификат (CA)
Шифроване на конфигурационните файлове
Криптиране на носител и сигнализация
Деактивирайте тези настройки, ако не се използват: PC порт, PC глас VLAN достъп, безполезен ARP, уеб достъп, бутон настройки, SSH, конзола
Внедряването на механизми за сигурност в специализирания екземпляр предотвратява кражба на самоличност на телефоните и сървъра на Унифициран CM, подправяне на данни и подправяне на повиквания / подправяне на мултимедия-поток.
Специализиран екземпляр по мрежата:
Установява и поддържа удостоверени комуникационни потоци
Цифрово подписва файлове, преди да прехвърлите файла в телефона
Шифрова медийни потоци и сигнал за обаждания между Cisco Унифицирани IP телефони
Защитата по подразбиране предоставя следните функции за автоматична защита за Cisco Unified IP телефони:
Подписване на файловете за конфигуриране на телефона
Поддръжка за шифроване на файлове за конфигуриране на телефона
HTTPS с Tomcat и други уеб услуги (MIDlets)
За Единни CM освобождаване 8.0 по-късно тези функции за защита са предоставени по подразбиране, без да стартирате клиента на списъка с гаранти на сертификати (CTL).
Тъй като има голям брой телефони в мрежа и IP телефони имат ограничена памет, Cisco Unified CM действа като отдалечен магазин за доверие чрез услугата за проверка на доверието (TVS), така че магазин за доверие на сертификат не трябва да се поставя на всеки телефон. Cisco IP телефони контакт TVS сървър за проверка, защото те не могат да проверят подпис или сертификат чрез CTL или ITL файлове. Наличието на централен магазин за доверие е по-лесно да се управлява, отколкото да има хранилището за доверие на всеки Cisco Unified IP телефон.
TVS дава възможност на Cisco Unified IP телефони за удостоверяване на сървъри за приложения, като EM услуги, директория и MIDlet, по време на HTTPS установяване.
Първоначалният списък с гаранти (ITL) файл се използва за първоначалната защита, така че крайните точки могат да се доверят cisco унифициран CM. ITL не се нуждае от никакви функции за защита, за да бъдат разрешени изрично. ITL файлът се създава автоматично, когато клъстерът е инсталиран. Частният ключ на сървъра на Унифицирания CM тривиален протокол за прехвърляне на файлове (TFTP) се използва за подписване на ITL файла.
Когато Cisco Унифициран CM клъстер или сървър е в несигурен режим, ITL файлът се изтегля на всеки поддържан Cisco IP телефон. Партньор може да видите съдържанието на ITL файл с помощта на командата CLI, администратор:покажи itl.
Cisco IP телефони се нуждаят от ITL файла за изпълнение на следните задачи:
Комуникирайте сигурно с CAPF, предпоставка за поддръжка на шифроването на конфигурационния файл
Удостоверяване на подписа на конфигурационния файл
Удостоверяване на сървъри за приложения, като em услуги, директория и MIDlet по време на HTTPS установяване с помощта на TVS
Удостоверяване на устройството, файла и сигнализацията разчитат на създаването на файла списък с гаранти на сертификати (CTL), който се създава, когато партньорът или клиентът инсталира и конфигурира клиента на списъка с гаранти на сертификати cisco.
CTL файлът съдържа записи за следните сървъри или маркери за защита:
Маркер за защита на системен администратор (SAST)
Cisco CallManager и Cisco TFTP услуги, които се изпълняват на един и същ сървър
Функция за прокси на орган на сертификата (CAPF)
TFTP сървър(и)
Защитна стена на ASA
CTL файлът съдържа сертификат на сървъра, публичен ключ, сериен номер, подпис, име на издателя, име на тема, функция на сървъра, DNS име и IP адрес за всеки сървър.
Телефонната защита с CTL предоставя следните функции:
Удостоверяване на TFTP изтеглени файлове (конфигурация, езикова променлива, списък с пръстени и така нататък) с помощта на ключ за подписване
Шифроване на TFTP конфигурационни файлове с помощта на ключ за подписване
Шифрована сигнализация за обаждания за IP телефони
Шифровано обаждане аудио (носител) за IP телефони
Специализиран екземпляр осигурява регистрация на крайна точка и обработка на повиквания. Сигнализацията между Cisco Unified CM и крайни точки се основава на Secure Skinny Client Control Protocol (SCCP) или Протокол за започване на сесия (SIP) и може да бъде криптирана с помощта на защита на транспортния слой (TLS). Носителят от/до крайните точки се основава на Транспортен протокол в реално време (RTP) и също може да бъде шифрован с помощта на Secure RTP (SRTP).
Разрешаването на смесен режим на Unified CM позволява шифроване на сигнала и медийния трафик от и към крайните точки на Cisco.
Защитени UC приложения
Смесеният режим не е разрешен по подразбиране в "Специализиран екземпляр".
Разрешаването на смесен режим в "Специализиран екземпляр" дава възможност за извършване на шифроване на сигнала и медийния трафик от и към крайните точки на Cisco.
В Cisco Unified CM освобождаване 12.5(1), нова опция, за да се даде възможност за криптиране на сигнализация и медии на базата на SIP OAuth вместо смесен режим / CTL е добавен за Jabber и Webex клиенти. Затова в Unified CM издание 12.5(1), SIP OAuth и SRTP може да се използва за разрешаване на криптиране за сигнализация и носители за Jabber или Webex клиенти. Разрешаването на смесен режим продължава да се изисква за Cisco IP телефони и други cisco крайни точки по това време. Има план за добавяне на поддръжка за SIP OAuth в 7800/8800 крайни точки в бъдещо издание.
Cisco единство връзка се свързва с Унифициран CM чрез TLS порта. Когато режимът на защита на устройството е несигурен, Cisco Unity Connection се свързва с Унифициран CM през SCCP порта.
За да конфигурирате защитата за портове за гласови съобщения на Unified CM и устройства cisco Unity, работещи под SCCP или Cisco Unity Connection устройства, работещи под SCCP, партньорът може да избере защитен режим на защита на устройството за порта. Ако изберете удостоверен порт за гласова поща, се отваря TLS връзка, която удостоверява устройствата с помощта на взаимен обмен на сертификати (всяко устройство приема сертификата на другото устройство). Ако изберете шифрован порт за гласова поща, системата първо удостоверява устройствата и след това изпраща шифровани гласови потоци между устройствата.
За повече информация относно портовете за съобщения на Security Voice вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Сигурност за SRST, Стволове, Шлюзове, КУБ/SBC
Cisco Унифициран оцелял отдалечен сайт телефония (SRST) активиран шлюз осигурява ограничени задачи за обработка на повиквания, ако Cisco унифициран CM на специализиран екземпляр не може да завърши повикването.
Защитените шлюзове с възможност за SRST съдържат самоподписан сертификат. След партньор изпълнява SRST конфигурационни задачи в единни CM администрация, Унифициран CM използва TLS връзка за удостоверяване с услугата доставчик на сертификати в шлюза, разрешен за SRST. След това унифициран CM извлича сертификата от шлюза, разрешен за SRST, и добавя сертификата към базата данни на Unified CM.
След партньора възстановява зависимите устройства в Unified CM администрация, TFTP сървър добавя sRST активиран шлюз сертификат на телефона cnf.xml файл и изпраща файла към телефона. След това защитен телефон използва TLS връзка за взаимодействие с шлюза, разрешен за SRST.
Препоръчва се да има сигурни стволове за повикването с произход от Cisco Unified CM към шлюза за изходящи PSTN разговори или траверсиране през Cisco унифициран граничен елемент (CUBE).
SIP багажниците могат да поддържат сигурни обаждания както за сигнализация, така и за медии; TLS осигурява криптиране на сигнализацията и SRTP осигурява медийно криптиране.
Осигуряване на комуникации между Cisco Унифициран CM и CUBE
За сигурни комуникации между Cisco Unified CM и CUBE партньорите/клиентите трябва да използват или самоподписани сертификати, или подписани от CA сертификати.
За самоподписани сертификати:
CUBE и Cisco Унифициран CM генерират самоподписани сертификати
CUBE експортира сертификат в Cisco унифициран CM
Cisco унифициран CM експортира сертификат в CUBE
За ca-подписани сертификати:
Клиентът генерира ключ-двойка и изпраща искане за подписване на сертификат (CSR) на сертификат орган (CA)
CA го подписва с частния си ключ, създавайки Сертификат за самоличност
Клиентът инсталира списъка на надеждниТЕ CA Главни и посреднически сертификати и сертификата за самоличност
Защита за отдалечени крайни точки
С крайни точки за мобилен и отдалечен достъп (MRA) сигнализацията и носителят винаги се шифроват между крайните точки на MRA и възлите на Expressway. Ако протоколът за установяване на интерактивна свързаност (ICE) се използва за крайни точки на MRA, е необходимо сигнализиране и медийно криптиране на крайните точки на MRA. Обаче криптиране на сигнализацията и носителя между Expressway-C и вътрешните Унифицирани CM сървъри, вътрешни крайни точки или други вътрешни устройства, изискват смесен режим или SIP OAuth.
Cisco Expressway осигурява сигурна защитна стена траверсална и линия страна поддръжка за Унифицирани CM регистрации. Унифициран CM осигурява контрол на обажданията както за мобилните, така и за крайните точки в помещенията. Сигнализацията престъпва решението Expressway между отдалечената крайна точка и Унифицирания CM. Мултимедията престъпва решението Expressway и се препредава между крайните точки директно. Всички носители се шифроват между Expressway-C и мобилната крайна точка.
Всяко MRA решение изисква Expressway и Унифициран CM, със съвместими с MRA меки клиенти и/или фиксирани крайни точки. Решението може по желание да включва IM и Услугата за присъствие и Връзка за единство.
Резюме на протокола
Следната таблица показва протоколите и свързаните услуги, използвани в решението Унифициран CM.
Протокол |
Защита |
Услуга |
---|---|---|
SIP |
TLS |
Сесиен обект: Регистрирайте се, Поканете и т.н. |
HTTPS |
TLS |
Влизане, Осигуряване/конфигуриране, Директория, Визуална гласова поща |
Мултимедия |
SRTP |
Медии: Аудио, Видео, Споделяне на съдържание |
XMPP |
TLS |
Незабавни съобщения, Присъствие, Федерация |
За повече информация относно конфигурацията на MRA вижте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Опции за конфигуриране
Специализираният екземпляр предоставя на Партньора гъвкавост за персонализиране на услугите за крайни потребители чрез пълен контрол на конфигурациите на ден две. В резултат на това Партньорът носи цялата отговорност за правилната конфигурация на услугата "Специализиран екземпляр" за средата на крайния потребител. Това включва, но не само:
Избор на сигурни/несигурни разговори, сигурни/несигурни протоколи като SIP/sSIP, http/https и т.н. и разбиране на всички свързани рискове.
За всички MAC адреси, които не са конфигурирани като secure-SIP в специализиран екземпляр, хакер може да изпрати SIP Регистър съобщение с помощта на този MAC адрес и да бъде в състояние да направи SIP повиквания, което води до измами с ТОЛ такси. Предпоставката е, че нападателят може да регистрира своето SIP устройство/софтуер на "Специализиран екземпляр" без разрешение, ако знае MAC адреса на устройство, регистрирано в "Специализиран екземпляр".
Правилата за обажданията на Expressway-E, правилата за трансформиране и търсене следва да бъдат конфигурирани, за да се предотврати измамата с пътни такси. За повече информация относно предотвратяването на измамите с пътни такси с помощта на Expressways вижте сигурност за Expressway C и Expressway-E раздел сътрудничество SRND.
Конфигурацията на плана за набиране, за да се гарантира, че потребителите могат да набират само дестинации, които са разрешени например, да забраняват националното/международното набиране, спешните повиквания се насочват правилно и т.н. За повече информация относно прилагането на ограничения с помощта на план за набиране вижте набиране план раздел на Сътрудничество SRND.
Изисквания към сертификата за защитени връзки в специализиран екземпляр
За специализиран екземпляр Cisco ще предостави домейна и ще подпише всички сертификати за UC приложения с помощта на публичен орган за сертификати (CA).
Специализиран екземпляр – Номера на портове и протоколи
Следващите таблици описва портовете и протоколите, които се поддържат в специализиран екземпляр. Портовете, които се използват за даден клиент, зависят от разполагането и решението на Клиента. Протоколите зависят от предпочитанието на клиента (SCCP срещу SIP), съществуващите локална устройства и какво ниво на сигурност, за да се определи кои портове да се използват при всяко разполагане.
Специализиран екземпляр – Клиентски портове
Портовете, налични за клиенти - между клиента предпоставка и специализиран екземпляр е показан в таблица 1 Специализиран екземпляр клиентски портове. Всички портове, изброени по-долу, са за трафик на клиенти, които превъртат връстниците връзки.
SNMP порт се поддържа само за CER функционалност, а не за други инструменти за наблюдение на трети страни. |
Портовете в диапазона от 5063 до 5080 са запазени от Cisco за други облачни интеграции, на администраторите на партньори или клиенти се препоръчва да не използват тези портове в конфигурациите си. |
Протокол |
TCP/UCP |
Източник |
Дестинация |
Порт източник |
Пристанище местоназначение |
Предназначение |
---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UC приложения |
По-голяма от 1023 |
22 |
Администриране |
LDAP |
TCP |
UC приложения |
Външна директория |
По-голяма от 1023 |
389 |
Синхронизиране на директория с клиент LDAP |
HTTPS |
TCP |
Браузер |
UC приложения |
По-голяма от 1023 |
443 |
Уеб достъп за самогрижи и административни интерфейси |
LDAP (СИГУРНА) |
TCP |
UC приложения |
Външна директория |
По-голяма от 1023 |
636 |
Синхронизиране на директория с клиент LDAP |
SCCP |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голяма от 1023 |
2000 |
Сигнализация на обажданията |
SCCP |
TCP |
Unified CM |
Унифициран CM, Шлюз |
По-голяма от 1023 |
2000 |
Сигнализация на обажданията |
SCCP (ЗАЩИТЕН) |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голяма от 1023 |
2443 |
Сигнализация на обажданията |
SCCP (ЗАЩИТЕН) |
TCP |
Unified CM |
Унифициран CM, Шлюз |
По-голяма от 1023 |
2443 |
Сигнализация на обажданията |
Проверка на доверието |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
2445 |
Предоставяне на услуга за проверка на доверието на крайни точки |
CTI |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
2748 |
Връзка между CTI приложения (JTAPI/TSP) и CTIManager |
Защитена CTI |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
2749 |
Защитена връзка между CTI приложения (JTAPI/TSP) и CTIManager |
Глобален каталог на LDAP |
TCP |
UC приложения |
Външна директория |
По-голяма от 1023 |
3268 |
Синхронизиране на директория с клиент LDAP |
Глобален каталог на LDAP |
TCP |
UC приложения |
Външна директория |
По-голяма от 1023 |
3269 |
Синхронизиране на директория с клиент LDAP |
УСЛУГА CAPF |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
3804 |
Сертификат орган прокси функция (CAPF) слушане порт за издаване на локално значими сертификати (LSC) на IP телефони |
SIP |
TCP |
Крайна точка |
Унифициран CM, CUCxn |
По-голяма от 1023 |
5060 |
Сигнализация на обажданията |
SIP |
TCP |
Unified CM |
Унифициран CM, Шлюз |
По-голяма от 1023 |
5060 |
Сигнализация на обажданията |
SIP (СИГУРЕН) |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
5061 |
Сигнализация на обажданията |
SIP (СИГУРЕН) |
TCP |
Unified CM |
Унифициран CM, Шлюз |
По-голяма от 1023 |
5061 |
Сигнализация на обажданията |
SIP (OAUTH) |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
5090 |
Сигнализация на обажданията |
XMPP |
TCP |
Джабър Клиент |
Cisco IM&P |
По-голяма от 1023 |
5222 |
Незабавни съобщения и присъствие |
HTTP |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
6970 |
Изтегляне на конфигурация и изображения в крайни точки |
HTTPS |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
6971 |
Изтегляне на конфигурация и изображения в крайни точки |
HTTPS |
TCP |
Крайна точка |
Unified CM |
По-голяма от 1023 |
6972 |
Изтегляне на конфигурация и изображения в крайни точки |
HTTP |
TCP |
Джабър Клиент |
CUCxn |
По-голяма от 1023 |
7080 |
Известия за гласова поща |
HTTPS |
TCP |
Джабър Клиент |
CUCxn |
По-голяма от 1023 |
7443 |
Защитени известия за гласова поща |
HTTPS |
TCP |
Unified CM |
Unified CM |
По-голяма от 1023 |
7501 |
Използва се от интерклустър справочна услуга (ILS) за удостоверяване, базирано на сертификат |
HTTPS |
TCP |
Unified CM |
Unified CM |
По-голяма от 1023 |
7502 |
Използва се от ILS за удостоверяване, базирано на парола |
IMAP |
TCP |
Джабър Клиент |
CUCxn |
По-голяма от 1023 |
7993 |
IMAP през TLS |
HTTPS |
TCP |
Браузър, Крайна точка |
UC приложения |
По-голяма от 1023 |
8443 |
Уеб достъп за самогрижи и административни интерфейси, UDS |
HTTPS |
TCP |
Прем |
Unified CM |
По-голяма от 1023 |
9443 |
Удостоверено търсене на контакти |
Защитена RTP/SRTP |
UDP |
Unified CM |
Телефон |
16384 до 32767 * |
16384 до 32767 * |
Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация) |
Защитена RTP/SRTP |
UDP |
Телефон |
Unified CM |
16384 до 32767 * |
16384 до 32767 * |
Медия (аудио) - Музика на изчакване, Анунциатор, Софтуерен конферентен мост (Отворен въз основа на сигнална сигнализация) |
ICMP |
ICMP |
Крайна точка |
UC приложения |
няма |
няма |
Ping |
ICMP |
ICMP |
UC приложения |
Крайна точка |
няма |
няма |
Ping |
* Някои специални случаи могат да използват по-голям диапазон. |
Специализиран екземпляр – OTT портове
Следният списък с портове може да се използва от клиентите и партньорите за настройка на Мобилни устройства и отдалечен достъп (MRA):
Протокол |
TCP/UCP |
Източник |
Дестинация |
Порт източник |
Пристанище местоназначение |
Предназначение |
---|---|---|---|---|---|---|
СИГУРНА ГЛЪТКА |
TCP |
Крайна точка |
Автомагистрала Е |
По-голяма от 1023 |
5061 |
Сигурна SIP сигнализация За регистрация на MRA и повиквания |
СИГУРНА ГЛЪТКА |
TCP |
Крайна точка/сървър |
Автомагистрала Е |
По-голяма от 1023 |
5062 |
Защитен SIP за B2B разговори |
ЗАЩИТЕНА RTP/RTCP |
UDP |
Крайна точка/сървър |
Автомагистрала Е |
По-голяма от 1023 |
36000-59999 |
Сигурни медии за MRA и B2B разговори |
HTTPS (ЗАЩИТЕН) |
TLS |
Клиент |
Автомагистрала Е |
По-голяма от 1023 |
8443 |
CUCM UDS и CUCxn ПОЧИВКА за MRA разговори |
XMLS |
TLS |
Клиент |
Автомагистрала Е |
По-голяма от 1023 |
5222 |
IM и Присъствие |
ОБЪРНА |
UDP |
ICE Клиент |
Автомагистрала Е |
По-голяма от 1023 |
3478 |
Преговори за ICE/STUN/TURN |
ЗАЩИТЕНА RTP/RTCP |
UPD |
ICE Клиент |
Автомагистрала Е |
По-голяма от 1023 |
24000-29999 |
TURN носител за ICE отпадане |
Специализиран екземпляр – UCCX портове
Следният списък с портове може да се използва от Клиенти и партньори за конфигуриране на UCCX.
Протокол |
TCP / UCP |
Източник |
Дестинация |
Порт източник |
Пристанище местоназначение |
Предназначение |
---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
22 |
SFTP и SSH |
Информикс |
TCP |
Клиент или сървър |
UCCX |
По-голяма от 1023 |
1504 |
Унифициран CCX порт за база данни |
SIP |
UDP и TCP |
SIP GW или MCRP сървър |
UCCX |
По-голяма от 1023 |
5065 |
Комуникация към отдалечените GW и MCRP възли |
XMPP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
5223 |
Защитена XMPP връзка между finesse сървъра и персонализирани приложения на трети страни |
CVD |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
6999 |
Редактор на CCX приложения |
HTTPS |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
7443 |
Защитена BOSH връзка между finesse сървъра и агент и надзорни настолни компютри за комуникация по HTTPS |
HTTP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8080 |
Клиентите за отчитане на данни на живо се свързват с гнездо. IO сървър |
HTTP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8081 |
Клиентски браузър, който се опитва да получи достъп до уеб интерфейса на Унифицирания разузнавателен център на Cisco |
HTTP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8443 |
Администратор GUI, RTMT, DB достъп чрез SOAP |
HTTPS |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8444 |
Уеб интерфейс на Унифицирания разузнавателен център на Cisco |
HTTPS |
TCP |
Браузър и REST клиенти |
UCCX |
По-голяма от 1023 |
8445 |
Охраняем порт за Финес |
HTTPS |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8447 |
HTTPS - Онлайн помощ за Унифициран разузнавателни център |
HTTPS |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
8553 |
Единичен Sign-On (SSO) компоненти достъп до този интерфейс, за да се знае състоянието на работа на Cisco IDS. |
HTTP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
9080 |
Клиенти, които се опитват да получат достъп до HTTP тригери или документи / подкани / граматики / живи данни. |
HTTPS |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
9443 |
Защитен порт, използван за отговор на клиенти, които се опитват да получат достъп до HTTPS задействания |
TCP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
12014 |
Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър |
TCP |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
12015 |
Това е портът, където клиентите за отчитане на данни на живо могат да се свържат с гнездо. IO сървър |
CTI |
TCP |
Клиент |
UCCX |
По-голяма от 1023 |
12028 |
Трета страна CTI клиент към CCX |
RTP(Носител) |
TCP |
Крайна точка |
UCCX |
По-голяма от 1023 |
По-голяма от 1023 |
Мултимедийният порт се отваря динамично при необходимост |
RTP(Носител) |
TCP |
Клиент |
Крайна точка |
По-голяма от 1023 |
По-голяма от 1023 |
Мултимедийният порт се отваря динамично при необходимост |
Защита на клиента
Осигуряване на Jabber и Webex с SIP OAuth
Jabber и Webex клиенти са удостоверени чрез маркер OAuth вместо локално значим сертификат (LSC), което не изисква сертификат орган прокси функция (CAPF) разрешаване (за MRA, както добре). SIP OAuth, работещ със или без смесен режим, е въведен в Cisco Unified CM 12.5(1), Jabber 12.5 и Expressway X12.5.
В Cisco Unified CM 12.5 имаме нова опция в Профил за защита на телефона, която позволява криптиране без LSC/CAPF, с помощта на един транспортен слой сигурност (TLS) + OAuth маркер в SIP РЕГИСТЪР. Възлите Expressway-C използват API на административната XML уеб услуга (AXL), за да информират Cisco Unified CM на SN/SAN в сертификата си. Cisco Unified CM използва тази информация за валидиране на Exp-C серт при установяване на взаимна TLS връзка.
SIP OAuth дава възможност за шифроване на мултимедия и сигнализация без сертификат за крайна точка (LSC).
Cisco Jabber използва ефимерни портове и защитени портове 6971 и 6972 портове чрез HTTPS връзка към TFTP сървъра за изтегляне на конфигурационните файлове. Порт 6970 е несигурен порт за изтегляне чрез HTTP.
Повече подробности за конфигурацията на SIP OAuth: Режим SIP OAuth.
DNS изисквания
За специализиран екземпляр Cisco предоставя FQDN за услугата във всеки регион със следния формат <customer>.<region>. wxc-di.webex.com например xyz.amer.wxc-di.webex.com.
Стойността "клиент" се предоставя от администратора като част от съветника за настройка за първи път (FTSW). За повече информация вижте Активиране науслугата за специализиран екземпляр.
DNS записи за този FQDN трябва да бъде разрешим от вътрешния DNS сървър на клиента, за да поддържате устройства на място, свързващи се към специализирания екземпляр. За да улесни разделителната способност, клиентът трябва да конфигурира условен спедитор, за този FQDN, на своя DNS сървър, сочещ към услугата за специализиран екземпляр DNS. Услугата за специализиран екземпляр DNS е регионална и може да се достигне, чрез връстването към специализиран екземпляр, като се използват следните IP адреси, както е споменато в таблицата по-долу специализиран екземпляр DNS услуга IP адрес.
Регион/Постоянен ток |
IP адрес на специализиран екземпляр DNS услуга | Условен спедиторски пример |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
ВСС |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
АМС |
178.215.138.228 |
|
APAC |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
ГРЯХ |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
МЕЛ |
178.215.128.100 |
|
СИД |
178.215.128.228 |
Опцията за пинг е забранено за посочените по-горе IP адреси на DNS сървър от съображения за сигурност. |
Докато не се въведе условното препращане, устройствата няма да могат да се регистрират в Специализиран екземпляр от клиентите вътрешна мрежа чрез връстниците. Условно препращане не се изисква за регистрация чрез Mobile и Отдалечен достъп (MRA), тъй като всички необходими външни DNS записи за улесняване на MRA ще бъдат предварително предвидени от Cisco.
Когато използвате приложението Webex като вашия извикващ мек клиент на специализиран екземпляр, трябва да бъде конфигуриран профил на UC Manager в контролния център за домейна на гласовата услуга на всеки регион (VSD). За повече информация вижте профили на мениджър на UC в Cisco Webex контролен център. Приложението Webex ще може автоматично да разреши Expressway Edge на клиента без никаква намеса на крайния потребител.
Домейн за гласова услуга ще бъде предоставен на клиента като част от документа за достъп до партньора, след като активирането на услугата завърши. |
Препратки
Cisco сътрудничество 12.x решение референтни мрежови дизайни (SRND), тема за защита: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Ръководство за сигурност за Cisco унифициран мениджър комуникации: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html