- Domů
- /
- Článek
Síťové a bezpečnostní požadavky vyhrazené pro jednotlivé případy
Požadavky na síť a zabezpečení pro řešení vyhrazené instance je vrstvený přístup k funkcím a funkcím, které poskytují zabezpečený fyzický přístup, síť, koncové body a aplikace Cisco UC. Popisuje síťové požadavky a uvádí adresy, porty a protokoly používané pro připojení koncových bodů ke službám.
Požadavky na síť pro vyhrazenou instanci
Vyhrazená instance volání Webex je součástí portfolia Cisco Cloud Calling, které využívá technologii spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilitu s funkcemi a výhodami IP telefonů Cisco, mobilních zařízení a desktopových klientů, kteří se bezpečně připojují k vyhrazené instanci.
Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí používat vyhrazenou instanci v rámci své organizace.
Přehled zabezpečení: Zabezpečení ve vrstvách
Vyhrazená instance používá vrstvený přístup k zabezpečení. Vrstvy zahrnují:
-
Fyzický přístup
-
Síť
-
komunikaci
-
Uc aplikace
Následující části popisují vrstvy zabezpečení v nasazeních vyhrazených instancí .
Fyzické zabezpečení
Je důležité zajistit fyzické zabezpečení místností Equinix Meet-Me Room a zařízení Cisco Dedicated Instance Data Center. Pokud je ohroženo fyzické zabezpečení, mohou být zahájeny jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. S fyzickým přístupem by útočníci mohli získat přístup k serverovým zařízením, resetovat hesla a získat přístup k přepínačům. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá vrstva zabezpečení, zabezpečení sítě, kritická.
Samošifrovací jednotky se používají ve vyhrazených datových centrech instancí , která hostují aplikace UC.
Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím místě: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Zabezpečení sítě
Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy zabezpečení, jako jsou:
-
Samostatná síť VLAN pro hlas a data
-
Povolit zabezpečení portů, které omezuje počet MAC adres povolených na port, proti zaplavení tabulky CAM
-
Ochrana zdroje IP proti falešným IP adresám
-
Dynamická kontrola ARP (DAI) zkoumá protokol ARP (Address Resolution Protocol) a bezdůvodné ARP (GARP) z hlediska porušení (proti falšování identity ARP)
-
802.1x omezuje přístup k síti pro ověřování zařízení v přiřazených sítích VLAN (telefony podporují 8021x).
-
Konfigurace kvality služby (QoS) pro vhodné označení hlasových paketů
-
Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu
Zabezpečení koncových bodů
Koncové body Cisco podporují výchozí funkce zabezpečení, jako je podepsaný firmware, zabezpečené spouštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.
Kromě toho může partner nebo zákazník povolit další zabezpečení, například:
-
Šifrování telefonních služeb IP (prostřednictvím protokolu HTTPS) pro služby, jako je mobilita rozšíření
-
Vydávání místně významných certifikátů (LSC) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)
-
Šifrování konfiguračních souborů
-
Šifrování médií a signalizace
-
Zakažte tato nastavení, pokud se nepoužívají: PC port, PC Voice VLAN Access, bezdůvodné ARP, Web Access, tlačítko Nastavení, SSH, konzole
Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a signalizaci hovorů / manipulaci s mediálním proudem.
Vyhrazená instance v síti:
-
Vytváří a udržuje ověřené komunikační streamy
-
Digitálně podepisuje soubory před přenosem souboru do telefonu
-
Šifruje datové proudy médií a signalizaci hovorů mezi IP telefony Cisco Unified
Zabezpečení ve výchozím nastavení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:
-
Podepisování konfiguračních souborů telefonu
-
Podpora šifrování konfiguračních souborů telefonu
-
HTTPS s Tomcat a dalšími webovými službami (MIDlets)
Pro Unified CM verze 8.0 novější jsou tyto funkce zabezpečení poskytovány ve výchozím nastavení bez spuštění klienta Seznamu důvěryhodných certifikátů (CTL).
Služba ověření důvěryhodnostiVzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, Cisco Unified CM funguje jako vzdálené úložiště důvěryhodných certifikátů prostřednictvím služby Ověření důvěry (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. IP telefony Cisco kontaktují server TVS k ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Centrální úložiště důvěryhodných certifikátů se spravuje snadněji než úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.
TVS umožňuje IP telefonům Cisco Unified ověřovat aplikační servery, jako jsou služby EM, adresář a MIDlet, během vytváření protokolu HTTPS.
Seznam počátečních důvěryhodných položekSoubor ITL (Initial Trust List) se používá pro počáteční zabezpečení, takže koncové body mohou důvěřovat Cisco Unified CM. ITL nepotřebuje žádné funkce zabezpečení, které by měly být explicitně povoleny. Soubor ITL je automaticky vytvořen při instalaci clusteru. Soukromý klíč serveru UNIFIED CM Trivial File Transfer Protocol (TFTP) se používá k podepsání souboru ITL.
Pokud je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, soubor ITL se stáhne do všech podporovaných IP telefonů Cisco. Partner může zobrazit obsah souboru ITL pomocí příkazu CLI admin:show itl.
IP telefony Cisco potřebují soubor ITL k provádění následujících úloh:
-
Bezpečná komunikace s CAPF, předpoklad pro podporu šifrování konfiguračního souboru
-
Ověření podpisu konfiguračního souboru
-
Ověřte aplikační servery, jako jsou služby EM, adresář a MIDlet během vytváření HTTPS pomocí TVS
Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který je vytvořen, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.
Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:
-
Token zabezpečení správce systému (SAST)
-
Služby Cisco CallManager a Cisco TFTP, které jsou spuštěny na stejném serveru
-
Funkce proxy certifikační autority (CAPF)
-
TFTP server(y)
-
Brána firewall ASA
Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vystavitele, název subjektu, funkci serveru, název DNS a IP adresu pro každý server.
Zabezpečení telefonu pomocí seznamu CTL poskytuje následující funkce:
-
Autentizace stažených souborů TFTP (konfigurace, národní prostředí, kruhový seznam atd.) pomocí podpisového klíče
-
Šifrování konfiguračních souborů TFTP pomocí podpisového klíče
-
Šifrovaná signalizace hovorů pro IP telefony
-
Šifrovaný zvuk hovoru (média) pro IP telefony
Vyhrazená instance poskytuje registraci koncového bodu a zpracování volání. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a lze ji šifrovat pomocí protokolu TLS (Transport Layer Security). Média z/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a lze je také šifrovat pomocí protokolu SRTP (Secure RTP).
Povolení smíšeného režimu na Unified CM umožňuje šifrování signalizačního a mediálního provozu z a do koncových bodů Cisco.
Zabezpečené aplikace UC
Povolení smíšeného režimu ve vyhrazené instanciSmíšený režim je ve výchozím nastavení povolen pro vyhrazenou instanci.
Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do nich.
V Cisco Unified CM verze 12.5(1) byla přidána nová možnost povolit šifrování signalizace a médií na základě SIP OAuth namísto smíšeného režimu / CTL pro klienty Jabber a Webex. Proto v Unified CM verze 12.5(1) lze SIP OAuth a SRTP použít k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je v současné době i nadále vyžadováno pro IP telefony Cisco a další koncové body Cisco. V budoucí verzi je plánováno přidání podpory pro SIP OAuth v koncových bodech 7800/8800.
Zabezpečení hlasových zprávPřipojení Cisco Unity se připojuje k Unified CM prostřednictvím portu TLS. Pokud je režim zabezpečení zařízení nezabezpečený, připojení Cisco Unity se připojí k Unified CM prostřednictvím portu SCCP.
Chcete-li nakonfigurovat zabezpečení pro porty hlasového zasílání zpráv Unified CM a zařízení Cisco Unity se systémem SCCP nebo Cisco Unity Connection se systémem SCCP, může partner pro port zvolit zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijímá certifikát druhého zařízení). Pokud zvolíte šifrovaný port hlasové schránky, systém nejprve ověří zařízení a poté odešle šifrované hlasové streamy mezi zařízeními.
Další informace o zabezpečení portů hlasových zpráv naleznete v tématu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Zabezpečení pro SRST, Trunky, Brány, CUBE/SBC
Brána s podporou SRST (Cisco Unified Survivable Remote Site Telephony) poskytuje omezené úlohy zpracování hovorů, pokud Cisco Unified CM ve vyhrazené instanci nemůže dokončit volání.
Zabezpečené brány s povoleným SRST obsahují certifikát podepsaný svým držitelem. Poté, co partner provede úlohy konfigurace SRST v Unified CM Administration, Unified CM použije připojení TLS k ověření pomocí služby Poskytovatele certifikátů v bráně s povoleným SRST. Unified CM pak načte certifikát z brány s povoleným SRST a přidá certifikát do databáze Unified CM.
Poté, co partner resetuje závislá zařízení v Unified CM Administration, TFTP server přidá certifikát brány s povoleným SRST do souboru cnf.xml telefonu a odešle soubor do telefonu. Zabezpečený telefon pak používá připojení TLS k interakci s bránou s povoleným SRST.
Doporučuje se mít zabezpečené kmeny pro volání pocházející z Cisco Unified CM do brány pro odchozí volání veřejné telefonní sítě nebo procházející přes Cisco Unified Border Element (CUBE).
SIP trunky mohou podporovat bezpečné hovory jak pro signalizaci, tak pro média; Protokol TLS poskytuje šifrování signalizace a protokol SRTP poskytuje šifrování médií.
Zabezpečení komunikace mezi Cisco Unified CM a CUBE
Pro zabezpečenou komunikaci mezi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikát podepsaný svým držitelem nebo certifikáty podepsané certifikační autoritou.
Certifikáty podepsané svým držitelem:
-
CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem
-
CUBE exportuje certifikát do Cisco Unified CM
-
Cisco Unified CM exportuje certifikát do CUBE
Certifikáty podepsané certifikační autoritou:
-
Klient vygeneruje pár klíčů a odešle žádost o podpis certifikátu (CSR) certifikační autoritě (CA)
-
Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity
-
Klient nainstaluje seznam kořenových a zprostředkujících certifikátů důvěryhodné certifikační autority a certifikát identity.
Zabezpečení vzdálených koncových bodů
U koncových bodů mobilního a vzdáleného přístupu (MRA) je signalizace a média vždy šifrována mezi koncovými body MRA a uzly dálnice. Pokud se pro koncové body MRA používá protokol ICE (Interactive Connectivity Establishment), vyžaduje se signalizace a šifrování médií koncových bodů MRA. Šifrování signalizace a médií mezi Expressway-C a interními servery Unified CM, interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo SIP OAuth.
Cisco Expressway poskytuje zabezpečený průchod bránou firewall a linkovou podporu pro registrace Unified CM. Sjednocený CM poskytuje řízení hovorů pro mobilní i místní koncové body. Signalizace prochází řešením dálnice mezi vzdáleným koncovým bodem a Unified CM. Médium prochází řešením Expressway a je přenášeno přímo mezi koncovými body. Všechna média jsou šifrována mezi Expressway-C a mobilním koncovým bodem.
Jakékoli řešení MRA vyžaduje Expressway a Unified CM s měkkými klienty kompatibilními s MRA a/nebo pevnými koncovými body. Řešení může volitelně zahrnovat služby IM a Presence Service a připojení Unity.
Souhrn protokolu
V následující tabulce jsou uvedeny protokoly a přidružené služby používané v řešení Unified CM.
Protokol |
Zabezpečení |
Služba |
---|---|---|
Protokol SIP |
TLS |
Založení relace: Zaregistrujte se, pozvěte atd. |
Identifikátor HTTPS |
TLS |
Přihlášení, zřizování/konfigurace, adresář, vizuální hlasová schránka |
Média |
SRTP |
Média: Audio, video, sdílení obsahu |
XMPP |
TLS |
Zasílání rychlých zpráv, stav, federace |
Další informace o konfiguraci MRA najdete v těchto tématech: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfigurace
Vyhrazená instance poskytuje partnerovi flexibilitu pro přizpůsobení služeb koncovým uživatelům prostřednictvím plné kontroly nad konfiguracemi druhého dne. V důsledku toho je partner výhradně odpovědný za správnou konfiguraci služby vyhrazené instance pro prostředí koncového uživatele. To zahrnuje, ale není omezeno na:
-
Výběr zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako jsou SIP/sSIP, http/https atd., a pochopení všech souvisejících rizik.
-
U všech MAC adres, které nejsou nakonfigurovány jako secure-SIP ve vyhrazené instanci, může útočník odeslat zprávu SIP Register pomocí této MAC adresy a být schopen provádět SIP hovory, což vede k mýtným podvodům. Předpokladem je, že útočník může zaregistrovat své SIP zařízení/software do dedicated instance bez autorizace, pokud zná MAC adresu zařízení registrovaného ve dedicated instance.
-
Zásady volání Dálnice-E, pravidla transformace a vyhledávání by měly být nakonfigurovány tak, aby se zabránilo podvodům s mýtným. Další informace o prevenci podvodů s mýtným pomocí dálnic naleznete v části Zabezpečení pro dálnice C a dálnice E v části Collaboration SRND.
-
Konfigurace plánu vytáčení zajišťující, aby uživatelé mohli vytáčet pouze povolené cíle, např. zakazovat vnitrostátní/mezinárodní vytáčení, správně směrování tísňových volání atd. Další informace o uplatňování omezení pomocí plánu vytáčení naleznete v části Plán vytáčení nástroje Collaboration SRND.
Požadavky na certifikát pro zabezpečená připojení ve vyhrazené instanci
Pro vyhrazenou instanci společnost Cisco poskytne doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).
Vyhrazená instance – čísla portů a protokoly
Následující tabulky popisují porty a protokoly, které jsou podporovány ve vyhrazené instanci. Porty, které se používají pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs SIP), na stávajících místních zařízeních a na úrovni zabezpečení při určování, které porty se mají v každém nasazení použít.
Vyhrazená instance neumožňuje překlad síťové adresy (NAT) mezi koncovými body a platformou Unified CM, protože některé funkce toku hovorů nebudou fungovat, například funkce během hovoru.
Vyhrazená instance – porty zákazníka
Porty dostupné pro zákazníky – mezi místní a vyhrazenou instancí zákazníka jsou uvedené v tabulce 1 Vyhrazené portyzákazníka instance. Všechny níže uvedené porty jsou určeny pro provoz zákazníků procházející partnerskými odkazy.
Port SNMP je ve výchozím nastavení otevřen pouze pro řešení Cisco Emergency Responder za účelem podpory jeho funkcí. Protože nepodporujeme partnery ani zákazníky monitorující aplikace UC nasazené v cloudu vyhrazené instance, nepovolujeme otevření portu SNMP pro žádné jiné aplikace UC.
Porty v rozsahu 5063 až 5080 vyhrazuje společnost Cisco pro jiné cloudové integrace, partnerské nebo zákaznické správce, kteří tyto porty ve svých konfiguracích nepoužívají.
Protokol |
TCP/UDP |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
Uc aplikace Není povoleno pro aplikace Cisco Expressway. |
Větší než 1023 |
22 |
Správa |
tftp |
UDP |
Koncový bod |
Unified CM |
Větší než 1023 |
69 |
Podpora staršího koncového bodu |
LDAP |
TCP |
Uc aplikace |
Externí adresář |
Větší než 1023 |
389 |
Synchronizace adresářů s LDAP zákazníka |
Identifikátor HTTPS |
TCP |
Prohlížeč |
Uc aplikace |
Větší než 1023 |
443 |
Webový přístup pro samoobslužná a administrativní rozhraní |
Odchozí pošta (SECURE) |
TCP |
Aplikace UC |
CUCxn |
Větší než 1023 |
587 |
Používá se k vytváření a odesílání zabezpečených zpráv určeným příjemcům |
LDAP (ZABEZPEČENÝ) |
TCP |
Uc aplikace |
Externí adresář |
Větší než 1023 |
636 |
Synchronizace adresářů s LDAP zákazníka |
H323 |
TCP |
Brána |
Unified CM |
Větší než 1023 |
1720 |
Signalizace hovorů |
H323 |
TCP |
Unified CM |
Unified CM |
Větší než 1023 |
1720 |
Signalizace hovorů |
SCCP |
TCP |
Koncový bod |
Sjednocený CM, CUCxn |
Větší než 1023 |
2000 |
Signalizace hovorů |
SCCP |
TCP |
Unified CM |
Sjednocený CM, brána |
Větší než 1023 |
2000 |
Signalizace hovorů |
mgcp |
UDP |
Brána |
Brána |
Větší než 1023 |
2427 |
Signalizace hovorů |
MGCP Backhaul |
TCP |
Brána |
Unified CM |
Větší než 1023 |
2428 |
Signalizace hovorů |
SCCP (ZABEZPEČENÍ) |
TCP |
Koncový bod |
Sjednocený CM, CUCxn |
Větší než 1023 |
2443 |
Signalizace hovorů |
SCCP (ZABEZPEČENÍ) |
TCP |
Unified CM |
Sjednocený CM, brána |
Větší než 1023 |
2443 |
Signalizace hovorů |
Ověření důvěryhodnosti |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
2445 |
Poskytování služby ověření důvěryhodnosti koncovým bodům |
CTI |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
2748 |
Propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager |
Bezpečné CTI |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
2749 |
Zabezpečené propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager |
Globální katalog LDAP |
TCP |
Uc Aplikace |
Externí adresář |
Větší než 1023 |
3268 |
Synchronizace adresářů s LDAP zákazníka |
Globální katalog LDAP |
TCP |
Uc Aplikace |
Externí adresář |
Větší než 1023 |
3269 |
Synchronizace adresářů s LDAP zákazníka |
Služba CAPF |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
3804 |
Naslouchající port CAPF (Certificate Authority Proxy Function) pro vydávání místně významných certifikátů (LSC) pro IP telefony |
Protokol SIP |
TCP |
Koncový bod |
Sjednocený CM, CUCxn |
Větší než 1023 |
5060 |
Signalizace hovorů |
Protokol SIP |
TCP |
Unified CM |
Sjednocený CM, brána |
Větší než 1023 |
5060 |
Signalizace hovorů |
SIP (BEZPEČNÝ) |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
5061 |
Signalizace hovorů |
SIP (BEZPEČNÝ) |
TCP |
Unified CM |
Sjednocený CM, brána |
Větší než 1023 |
5061 |
Signalizace hovorů |
SIP (OAUTH) |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
5090 |
Signalizace hovorů |
XMPP |
TCP |
Jabber klient |
Cisco IM&P |
Větší než 1023 |
5222 |
Zasílání rychlých zpráv a informace o stavu |
HTTP |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
6970 |
Stahování konfigurace a imagí do koncových bodů |
Identifikátor HTTPS |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
6971 |
Stahování konfigurace a imagí do koncových bodů |
Identifikátor HTTPS |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
6972 |
Stahování konfigurace a imagí do koncových bodů |
HTTP |
TCP |
Jabber klient |
CUCxn |
Větší než 1023 |
7080 |
Oznámení hlasové schránky |
Identifikátor HTTPS |
TCP |
Jabber klient |
CUCxn |
Větší než 1023 |
7443 |
Oznámení o zabezpečené hlasové schránce |
Identifikátor HTTPS |
TCP |
Unified CM |
Unified CM |
Větší než 1023 |
7501 |
Používá služba ILS (Intercluster Lookup Service) k ověřování na základě certifikátů |
Identifikátor HTTPS |
TCP |
Unified CM |
Unified CM |
Větší než 1023 |
7502 |
Používá ILS pro ověřování na základě hesla |
IMAP |
TCP |
Jabber klient |
CUCxn |
Větší než 1023 |
7993 |
IMAP přes TLS |
HTTP |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
8080 |
Identifikátor URI adresáře pro starší koncové body |
Identifikátor HTTPS |
TCP |
Prohlížeč, koncový bod |
Uc aplikace |
Větší než 1023 |
8443 |
Webový přístup pro samoobslužná a administrativní rozhraní, UDS |
Identifikátor HTTPS |
TCP |
Telefon |
Unified CM |
Větší než 1023 |
9443 |
Vyhledávání ověřených kontaktů |
Protokol HTTP |
TCP |
Koncový bod |
Unified CM |
Větší než 1023 |
9444 |
Funkce správy náhlavní soupravy |
Zabezpečený RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 až 32767 * |
16384 až 32767 * |
Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru) |
Zabezpečený RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 až 32767 * |
16384 až 32767 * |
Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (otevřeno na základě signalizace hovoru) |
Kobylky |
TCP |
Klient |
CUCxn |
Větší než 1023 |
20532 |
Zálohovat a obnovit sadu aplikací |
ICMP |
ICMP |
Koncový bod |
Uc aplikace |
není k dispozici |
není k dispozici |
Ping |
ICMP |
ICMP |
Uc aplikace |
Koncový bod |
není k dispozici |
není k dispozici |
Ping |
DNS | UDP a TCP |
Přesměrování DNS |
Servery DNS vyhrazené instance |
Větší než 1023 |
53 |
Přesměrovatelé DNS místního zákazníka na servery DNS vyhrazené instance. Další informace naleznete v části Požadavky na DNS . |
* Některé zvláštní případy mohou používat větší rozsah. |
Vyhrazená instance – porty OTT
Zákazníci a partneři mohou pro nastavení mobilního a vzdáleného přístupu (MRA) používat následující port:
Protokol |
TCP/UCP |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
ZABEZPEČENÝ RTP/RTCP |
UDP |
Rychlostní silnice C |
Klient |
Větší než 1023 |
36000-59999 |
Zabezpečená média pro HOVORY MRA a B2B |
Přenosový spoj SIP mezi pobočkou Multitenant a vyhrazenou instancí (pouze pro přenosový spoj založený na registraci)
V bráně firewall zákazníka musí být povolen následující seznam portů pro připojení spoje SIP založeného na registraci mezi multitenantem a vyhrazenou instancí.
Protokol |
TCP/UCP |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
protokol rtp/rtcp |
UDP |
Služba Webex Calling Multitenant |
Klient |
Větší než 1023 |
8000-48198 |
Média ze služby Webex Calling Multitenant |
Vyhrazená instance – porty UCCX
Následující seznam portů mohou zákazníci a partneři použít ke konfiguraci UCCX.
Protokol |
TCP / UCP |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Větší než 1023 |
22 |
SFTP a SSH |
Informix |
TCP |
Klient nebo server |
UCCX |
Větší než 1023 |
1504 |
Port databáze Contact Center Express |
Protokol SIP |
UDP a TCP |
SIP GW nebo MCRP server |
UCCX |
Větší než 1023 |
5065 |
Komunikace se vzdálenými uzly GW a MCRP |
XMPP |
TCP |
Klient |
UCCX |
Větší než 1023 |
5223 |
Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran |
KVO |
TCP |
Klient |
UCCX |
Větší než 1023 |
6999 |
Editor aplikací CCX |
Identifikátor HTTPS |
TCP |
Klient |
UCCX |
Větší než 1023 |
7443 |
Zabezpečené připojení BOSH mezi serverem Finesse a desktopy agentů a supervizorů pro komunikaci přes HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Větší než 1023 |
8080 |
Klienti pro reportování s dynamickými daty se připojují k serveru socket.IO |
HTTP |
TCP |
Klient |
UCCX |
Větší než 1023 |
8081 |
Klientský prohlížeč se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Větší než 1023 |
8443 |
GUI správce, RTMT, přístup k databázi přes SOAP |
Identifikátor HTTPS |
TCP |
Klient |
UCCX |
Větší než 1023 |
8444 |
Webové rozhraní Cisco Unified Intelligence Center |
Identifikátor HTTPS |
TCP |
Klienti prohlížeče a REST |
UCCX |
Větší než 1023 |
8445 |
Zabezpečený port pro Finesse |
Identifikátor HTTPS |
TCP |
Klient |
UCCX |
Větší než 1023 |
8447 |
HTTPS – Online nápověda k Jednotnému zpravodajskému centru |
Identifikátor HTTPS |
TCP |
Klient |
UCCX |
Větší než 1023 |
8553 |
Komponenty jednotného přihlašování (SSO) přistupují k tomuto rozhraní, aby věděly o provozním stavu poskytovatelů identity Cisco. |
HTTP |
TCP |
Klient |
UCCX |
Větší než 1023 |
9080 |
Klienti, kteří se pokoušejí o přístup k HTTP triggerům nebo dokumentům / výzvám / gramatikám / živým datům. |
Identifikátor HTTPS |
TCP |
Klient |
UCCX |
Větší než 1023 |
9443 |
Zabezpečený port používaný k reakci na klienty, kteří se pokoušejí získat přístup k aktivačním událostem HTTPS |
TCP |
TCP |
Klient |
UCCX |
Větší než 1023 |
12014 |
Toto je port, kde se klienti sestav s dynamickými daty mohou připojit k serveru socket.IO |
TCP |
TCP |
Klient |
UCCX |
Větší než 1023 |
12015 |
Toto je port, kde se klienti sestav s dynamickými daty mohou připojit k serveru socket.IO |
CTI |
TCP |
Klient |
UCCX |
Větší než 1023 |
12028 |
Klient CTI třetí strany pro CCX |
RTP (Média) |
TCP |
Koncový bod |
UCCX |
Větší než 1023 |
Větší než 1023 |
Mediální port se otevírá dynamicky podle potřeby |
RTP (Média) |
TCP |
Klient |
Koncový bod |
Větší než 1023 |
Větší než 1023 |
Mediální port se otevírá dynamicky podle potřeby |
Zabezpečení klienta
Zabezpečení Jabber a Webex pomocí SIP OAuth
Klienti Jabber a Webex se ověřují prostřednictvím tokenu OAuth namísto místně významného certifikátu (LSC), který nevyžaduje povolení funkce proxy certifikační autority (CAPF) (také pro MRA). SIP OAuth pracující se smíšeným režimem nebo bez něj byl představen v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.
V Cisco Unified CM 12.5 máme novou možnost v Profilu zabezpečení telefonu, která umožňuje šifrování bez LSC/CAPF pomocí jednoho transportního protokolu (TLS) + tokenu OAuth v SIP REGISTER. Uzly Expressway-C používají rozhraní API webové služby AXL (Administrative XML Web Service) k informování Cisco Unified CM o SN/SAN ve svém certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.
SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).
Cisco Jabber používá dočasné porty a zabezpečené porty 6971 a 6972 prostřednictvím připojení HTTPS k TFTP serveru ke stažení konfiguračních souborů. Port 6970 je nezabezpečený port pro stahování přes HTTP.
Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.
Požadavky DNS
Pro vyhrazenou instanci společnost Cisco poskytuje název FQDN pro službu v každé oblasti s následujícím formátem ..wxc-di.webex.com například xyz.amer.wxc-di.webex.com.
Hodnotu "zákazník" poskytuje správce jako součást Průvodce prvním nastavením (FTSW). Další informace najdete v tématu Aktivace služby vyhrazených instancí.
Záznamy DNS pro tento plně kvalifikovaný název domény musí být přeložitelné z interního serveru DNS zákazníka, aby podporovaly místní zařízení připojující se k vyhrazené instanci. Pro usnadnění překladu musí zákazník nakonfigurovat službu podmíněného předávání pro tento plně kvalifikovaný název domény na svém serveru DNS odkazujícím na službu DNS s vyhrazenou instancí. Služba DNS vyhrazené instance je regionální a lze ji kontaktovat prostřednictvím peeringu na vyhrazenou instanci pomocí následujících IP adres, jak je uvedeno v následující tabulce IP adresa služby DNS vyhrazené instance.
Oblast/DC | Vyhrazená instance IP služby DNS |
Příklad podmíněného předávání |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
Kategorie: Francouzština |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Hřích |
103.232.71.100 |
|
Výlohy |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
UK |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
Muž |
178.215.135.228 |
Možnost ping je z bezpečnostních důvodů zakázána pro výše uvedené IP adresy DNS serverů.
Dokud nebude podmíněné předávání zavedeno, zařízení se nebudou moci zaregistrovat k vyhrazené instanci z interní sítě zákazníků prostřednictvím propojení partnerských vztahů. Podmíněné předávání není vyžadováno pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA), protože všechny požadované externí záznamy DNS pro usnadnění MRA budou předem zřízeny společností Cisco.
Při použití aplikace Webex jako volajícího měkkého klienta ve vyhrazené instanci je třeba nakonfigurovat profil správce UC v Centru řízení pro doménu hlasové služby (VSD) každé oblasti. Další informace naleznete v tématu Profily správce UC v řídicím centru Cisco Webex. Aplikace Webex bude schopna automaticky vyřešit Expressway Edge zákazníka bez zásahu koncového uživatele.
Doména hlasové služby bude zákazníkovi poskytnuta jako součást dokumentu o přístupu partnera po dokončení aktivace služby.
Použití místního směrovače pro překlad DNS telefonu
U telefonů, které nemají přístup k podnikovým serverům DNS, je možné k předávání požadavků DNS do cloudového DNS vyhrazené instance použít místní směrovač Cisco. Tím není třeba nasadit místní server DNS a poskytuje úplnou podporu DNS včetně ukládání do mezipaměti.
Příklad konfigurace :
!
Server IP DNS
IP název-server
!
Použití DNS v tomto modelu nasazení je specifické pro telefony a lze jej použít pouze k řešení FQDN s doménou na základě vyhrazené instance zákazníka.
Odkazy
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), téma zabezpečení: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Průvodce zabezpečením pro Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html