- Domů
- /
- Článek
Síťové a bezpečnostní požadavky pro řešení vyhrazené instance jsou vrstvený přístup k funkcím a funkcím, které poskytují bezpečný fyzický přístup, síť, koncové body a aplikace Cisco UC. Popisuje síťové požadavky a uvádí adresy, porty a protokoly používané pro připojení koncových bodů ke službám.
Požadavky sítě pro vyhrazenou instanci
Vyhrazená instance Webex Calling je součástí portfolia Cisco Cloud Calling, které je poháněno technologií pro spolupráci Cisco Unified Communications Manager (Cisco Unified CM). Vyhrazená instance nabízí řešení pro hlas, video, zasílání zpráv a mobilitu s funkcemi a výhodami IP telefonů Cisco, mobilních zařízení a stolních klientů, které se bezpečně připojují k vyhrazené instanci.
Tento článek je určen správcům sítě, zejména správcům brány firewall a zabezpečení proxy serveru, kteří chtějí v rámci své organizace používat vyhrazenou instanci.
Přehled zabezpečení: Zabezpečení ve vrstvách
Vyhrazená instance používá pro zabezpečení vrstvený přístup. Mezi vrstvy patří:
-
Fyzický přístup
-
Síť
-
komunikaci
-
Aplikace UC
Následující části popisují úrovně zabezpečení v nasazeních vyhrazené instance.
Fyzická bezpečnost
Je důležité zajistit fyzické zabezpečení umístění místností Equinix Meet-Me a datového centra vyhrazené instance Cisco. Když je ohrožena fyzická bezpečnost, lze zahájit jednoduché útoky, jako je přerušení služby vypnutím napájení přepínačů zákazníka. Díky fyzickému přístupu mohou útočníci získat přístup k serverovým zařízením, resetovat hesla a získat přepínače. Fyzický přístup také usnadňuje sofistikovanější útoky, jako jsou útoky typu man-in-the-middle, což je důvod, proč je druhá bezpečnostní vrstva, zabezpečení sítě, kriticky důležitá.
Jednotky s vlastním šifrováním se používají v datových centrech vyhrazené instance, která hostují aplikace UC.
Další informace o obecných bezpečnostních postupech naleznete v dokumentaci na následujícím místě: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Zabezpečení sítě
Partneři musí zajistit, aby všechny síťové prvky byly zabezpečeny v infrastruktuře vyhrazené instance (která se připojuje přes Equinix). Je odpovědností partnera zajistit osvědčené postupy v oblasti bezpečnosti, jako jsou:
-
Oddělit síť VLAN pro hlas a data
-
Povolit zabezpečení portu, které omezuje počet adres MAC povolených na port proti zaplavení tabulky CAM
-
IP Source Guard proti zfalšovaným IP adresám
-
Dynamic ARP Inspection (DAI) zkoumá protokol k rozlišení adres (ARP) a bezplatný ARP (GARP) pro porušení (proti ARP spoofing)
-
802.1x omezuje síťový přístup k ověřeným zařízením na přiřazených VLANS (telefony podporují 802.1x)
-
Konfigurace kvality služby (Qos) pro vhodné značení hlasových paketů
-
Konfigurace portů brány firewall pro blokování jakéhokoli jiného provozu
Zabezpečení koncových bodů
Koncové body Cisco podporují výchozí bezpečnostní funkce, jako je podepsaný firmware, zabezpečené spuštění (vybrané modely), certifikát nainstalovaný výrobcem (MIC) a podepsané konfigurační soubory, které poskytují určitou úroveň zabezpečení koncových bodů.
Kromě toho může partner nebo zákazník povolit další zabezpečení, například:
-
Šifrování služeb IP telefonů (prostřednictvím protokolu HTTPS) pro služby, jako je Extension Mobility
-
Vydávání lokálně významných certifikátů (LSCS) z funkce proxy certifikační autority (CAPF) nebo veřejné certifikační autority (CA)
-
Šifrovat konfigurační soubory
-
Šifrovat média a signalizace
-
Pokud nejsou použita, zakažte tato nastavení: PC port, PC Voice VLAN Access, Bezplatný ARP, Web Access, tlačítko Nastavení, SSH, konzola
Implementace bezpečnostních mechanismů ve vyhrazené instanci zabraňuje krádeži identity telefonů a serveru Unified CM, manipulaci s daty a manipulaci se signalizací hovorů / mediálním proudem.
Vyhrazená instance přes síť:
-
Vytváří a udržuje ověřené komunikační toky.
-
Před přenosem souboru do telefonu digitálně podepisuje soubory
-
Šifruje streamy médií a signalizace hovorů mezi telefony Cisco Unified IP
Ve výchozím nastavení zabezpečení poskytuje následující automatické funkce zabezpečení pro telefony Cisco Unified IP:
-
Podepisování konfiguračních souborů telefonu
-
Podpora šifrování konfiguračního souboru telefonu
-
HTTPS s Tomcat a dalšími webovými službami (MIDLETS)
Pro systém Unified CM verze 8.0 novější jsou tyto funkce zabezpečení ve výchozím nastavení poskytovány bez spuštění klienta seznamu důvěryhodných certifikátů (CTL).
Služba ověřování důvěryhodnostiVzhledem k tomu, že v síti je velký počet telefonů a IP telefony mají omezenou paměť, funguje Cisco Unified CM jako vzdálený úložiště důvěryhodných certifikátů prostřednictvím služby ověřování důvěryhodnosti (TVS), takže úložiště důvěryhodných certifikátů nemusí být umístěno na každém telefonu. Cisco IP telefony kontaktují server TVS kvůli ověření, protože nemohou ověřit podpis nebo certifikát prostřednictvím souborů CTL nebo ITL. Mít centrální úložiště důvěryhodných certifikátů se spravuje snáze než mít úložiště důvěryhodných certifikátů na každém telefonu Cisco Unified IP.
Služba TVS umožňuje telefonům Cisco Unified IP během vytváření protokolu HTTPS ověřovat servery aplikací, jako jsou služby EM, adresář a MIDLET.
Seznam počátečních důvěryhodných položekPro počáteční zabezpečení se používá soubor ITL (Initial Trust List), aby koncové body mohly důvěřovat aplikaci Cisco Unified CM. Služba ITL nepotřebuje explicitně povolit žádné bezpečnostní funkce. Soubor ITL se automaticky vytvoří při instalaci clusteru. K podpisu souboru ITL se používá soukromý klíč serveru TFTP (Unified CM Trivial File Transfer Protocol).
Když je cluster nebo server Cisco Unified CM v nezabezpečeném režimu, je soubor ITL stažen do každého podporovaného Cisco IP telefonu. Partner může zobrazit obsah souboru ITL pomocí příkazu rozhraní příkazového řádku admin:show itl.
Cisco IP telefony potřebují soubor ITL k provedení následujících úkolů:
-
Bezpečně komunikovat s CAPF, což je předpoklad pro podporu šifrování konfiguračního souboru
-
Ověřit podpis konfiguračního souboru
-
Ověřte aplikační servery, jako jsou služby EM, adresář a MIDLET během založení HTTPS pomocí TVS
Ověřování zařízení, souborů a signalizace závisí na vytvoření souboru seznamu důvěryhodných certifikátů (CTL), který se vytvoří, když partner nebo zákazník nainstaluje a nakonfiguruje klienta seznamu důvěryhodných certifikátů Cisco.
Soubor CTL obsahuje položky pro následující servery nebo tokeny zabezpečení:
-
Token zabezpečení správce systému (SAST)
-
Služby Cisco Manager a Cisco TFTP spuštěné na stejném serveru
-
Funkce proxy certifikační autority (CAPF)
-
Server(y) TFTP
-
firewall ASA
Soubor CTL obsahuje certifikát serveru, veřejný klíč, sériové číslo, podpis, název vydavatele, název předmětu, funkci serveru, název DNS a adresu IP pro každý server.
Zabezpečení telefonu s platformou CTL poskytuje následující funkce:
-
Ověřování stažených souborů TFTP (konfigurace, národní prostředí, seznam vyzvánění atd.) pomocí podpisového klíče
-
Šifrování konfiguračních souborů TFTP pomocí podpisového klíče
-
Signalizace šifrovaného hovoru pro IP telefony
-
Šifrovaný zvuk hovoru (média) pro IP telefony
Vyhrazená instance poskytuje registraci koncového bodu a zpracování hovorů. Signalizace mezi Cisco Unified CM a koncovými body je založena na protokolu SCCP (Secure Skinny Client Control Protocol) nebo protokolu SIP (Session Initiation Protocol) a může být šifrována pomocí protokolu TLS (Transport Layer Security). Média od/do koncových bodů jsou založena na protokolu RTP (Real-time Transport Protocol) a mohou být také šifrována pomocí zabezpečeného RTP (SRTP).
Povolení smíšeného režimu v systému Unified CM umožňuje šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do koncových bodů.
Zabezpečené aplikace UC
Povolení smíšeného režimu ve vyhrazené instanciSmíšený režim je ve vyhrazené instanci ve výchozím nastavení povolen.
Povolení smíšeného režimu ve vyhrazené instanci umožňuje provádět šifrování signalizačního a mediálního provozu z koncových bodů Cisco a do koncových bodů.
V aplikaci Cisco Unified CM verze 12.5(1) byla pro klienty Jabber a Webex přidána nová možnost pro šifrování signalizace a médií na základě protokolu SIP OAuth namísto smíšeného režimu / CTL. Proto lze v Unified CM verzi 12.5(1) použít SIP OAuth a SRTP k povolení šifrování pro signalizaci a média pro klienty Jabber nebo Webex. Povolení smíšeného režimu je nyní vyžadováno pro Cisco IP telefony a další koncové body Cisco. Existuje plán přidat podporu pro SIP OAuth v koncových bodech 7800/8800 v budoucí verzi.
Zabezpečení hlasových zprávSystém Cisco Unity Connection se připojuje ke službě Unified CM prostřednictvím portu TLS. Pokud není bezpečnostní režim zařízení zabezpečený, systém Cisco Unity Connection se připojí ke službě Unified CM prostřednictvím portu SCCP.
Chcete-li konfigurovat zabezpečení pro porty hlasové zprávy Unified CM a zařízení Cisco Unity se zařízeními SCCP nebo Cisco Unity Connection se zařízeními SCCP, může partner zvolit pro port zabezpečený režim zabezpečení zařízení. Pokud zvolíte ověřený port hlasové schránky, otevře se připojení TLS, které ověří zařízení pomocí vzájemné výměny certifikátů (každé zařízení přijme certifikát jiného zařízení). Pokud zvolíte šifrovaný port hlasové pošty, systém nejprve ověří zařízení a poté odešle šifrované hlasové proudy mezi zařízeními.
Další informace o portech pro zasílání hlasových zpráv zabezpečení naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html
Zabezpečení pro SRST, přenosové spoje, brány, CUBE/SBC
Brána s podporou služby Cisco Unified Survivable Remote Site Telephony (SRST) poskytuje omezené úlohy zpracování hovorů, pokud služba Cisco Unified CM ve vyhrazené instanci nemůže hovor dokončit.
Zabezpečené brány s podporou SRST obsahují certifikát podepsaný svým držitelem. Poté, co partner provede úlohy konfigurace SRST ve správě Unified CM, Unified CM použije připojení TLS k ověření se službou poskytovatele certifikátů v bráně s podporou SRST. Unified CM poté načte certifikát z brány s podporou SRST a přidá certifikát do databáze Unified CM.
Jakmile partner resetuje závislá zařízení v jednotné správě CM, server TFTP přidá certifikát brány s podporou SRST do souboru cnf.xml telefonu a soubor odešle do telefonu. Zabezpečený telefon pak používá připojení TLS k interakci s bránou s podporou SRST.
Doporučuje se mít zabezpečené přenosové spoje pro volání pocházející z Cisco Unified CM do brány pro odchozí volání PSTN nebo procházející prvkem Cisco Unified Border Element (CUBE).
Přenosové spoje SIP mohou podporovat zabezpečená volání jak pro signalizaci, tak pro média; TLS poskytuje signalizační šifrování a SRTP poskytuje šifrování médií.
Zabezpečení komunikace mezi aplikacemi Cisco Unified CM a CUBE
Pro bezpečnou komunikaci mezi aplikacemi Cisco Unified CM a CUBE musí partneři/zákazníci používat certifikáty podepsané svým držitelem nebo certifikáty podepsané certifikační autoritou.
Certifikáty podepsané svým držitelem:
-
CUBE a Cisco Unified CM generují certifikáty podepsané svým držitelem
-
CUBE exportuje certifikát do řešení Cisco Unified CM
-
Cisco Unified CM exportuje certifikát do CUBE
Pro certifikáty podepsané certifikační autoritou:
-
Klient vygeneruje pár klíčů a odešle certifikační autoritě žádost o podepsání certifikátu (CSR)
-
Certifikační autorita ji podepíše svým privátním klíčem a vytvoří certifikát identity
-
Klient nainstaluje seznam důvěryhodných kořenových a zprostředkovatelských certifikátů certifikační autority a certifikátu identity
Zabezpečení pro vzdálené koncové body
U koncových bodů MRA pro mobilní a vzdálený přístup (Mobile and Remote Access) jsou signalizační a média vždy šifrována mezi koncovými body MRA a uzly Expressway. Pokud je pro koncové body MRA použit protokol ICE (Interactive Connectivity Establishment), je vyžadováno šifrování signálů a médií koncových bodů MRA. Šifrování signalizace a médií mezi Expressway-C a interními servery Unified CM, interními koncovými body nebo jinými interními zařízeními však vyžaduje smíšený režim nebo SIP OAuth.
Cisco Expressway poskytuje zabezpečený průchod bránou firewall a podporu na lince pro registrace Unified CM. Unified CM poskytuje řízení hovorů pro mobilní i místní koncové body. Signalizace prochází řešením Expressway mezi vzdáleným koncovým bodem a Unified CM. Média procházejí řešením Expressway a přímo se předávají mezi koncovými body. Všechna média jsou mezi zařízením Expressway-C a mobilním koncovým bodem šifrována.
Jakékoli řešení MRA vyžaduje řešení Expressway a Unified CM s softwarovými klienty kompatibilními s MRA a/nebo pevnými koncovými body. Řešení může volitelně zahrnovat službu IM a službu Presence a službu Unity Connection.
Souhrn protokolu
V následující tabulce jsou uvedeny protokoly a související služby používané v řešení Unified CM.
Protokol |
Zabezpečení |
Služba |
---|---|---|
Protokol SIP |
TLS |
Založení relace: Registrovat, pozvat atd. |
HTTPS (rozcestník) |
TLS |
Přihlášení, zřizování/konfigurace, adresář, vizuální hlasová schránka |
Média |
SRTP (rozcestník) |
Média: Zvuk, video, sdílení obsahu |
Záložník (fotbal) |
TLS |
Zasílání okamžitých zpráv, Přítomnost, Federace |
Další informace o konfiguraci MRA naleznete zde: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/x12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfigurace
Vyhrazená instance poskytuje partnerovi flexibilitu při přizpůsobování služeb koncovým uživatelům prostřednictvím úplné kontroly nad konfiguracemi druhého dne. V důsledku toho je partner výhradně odpovědný za správnou konfiguraci služby vyhrazené instance pro prostředí koncového uživatele. To mimo jiné zahrnuje:
-
Výběr zabezpečených/nezabezpečených hovorů, zabezpečených/nezabezpečených protokolů, jako je SIP/sSIP, http/https atd. a pochopení všech souvisejících rizik.
-
U všech adres MAC, které nejsou nakonfigurovány jako secure-SIP ve vyhrazené instanci, může útočník odesílat zprávu registrace SIP pomocí této adresy MAC a být schopen uskutečňovat hovory SIP, což vede k podvodům s mýtným. Důležité je, že útočník může zaregistrovat své zařízení/software SIP do vyhrazené instance bez autorizace, pokud zná adresu MAC zařízení registrovaného ve vyhrazené instanci.
-
Zásady volání Expressway-E, transformační a vyhledávací pravidla by měly být nakonfigurovány tak, aby se zabránilo podvodům s mýtným. Další informace o prevenci podvodů s mýtným použitím řešení Expressway naleznete v části Zabezpečení pro řešení Expressway C a Expressway-E v části Collaboration SRND.
-
Konfigurace plánu vytáčení, která zajišťuje, že uživatelé mohou vytáčet pouze povolené cíle, např. zakázat národní/mezinárodní vytáčení, správně směrovat tísňová volání atd. Další informace o uplatňování omezení pomocí plánu vytáčení naleznete v části Plán vytáčení v části Collaboration SRND.
Požadavky na certifikát pro zabezpečená připojení ve vyhrazené instanci
Pro vyhrazenou instanci společnost Cisco poskytne doménu a podepíše všechny certifikáty pro aplikace UC pomocí veřejné certifikační autority (CA).
Vyhrazená instance – čísla portů a protokoly
Následující tabulky popisují porty a protokoly podporované ve vyhrazené instanci. Porty, které se používají pro daného zákazníka, závisí na nasazení a řešení zákazníka. Protokoly závisí na preferencích zákazníka (SCCP vs SIP), na stávajících místních zařízeních a na úrovni zabezpečení, aby bylo možné určit, které porty mají být použity v každém nasazení.
Vyhrazená instance neumožňuje překlad síťové adresy (NAT) mezi koncovými body a Unified CM, protože některé funkce toku hovorů nebudou fungovat, například funkce během hovoru. |
Vyhrazená instance – porty zákazníka
Porty dostupné zákazníkům – mezi místní pobočkou Zákazníka a vyhrazenou instancí jsou uvedeny v tabulce 1 Porty zákazníků vyhrazené instance. Všechny níže uvedené porty jsou určeny pro provoz zákazníků procházející peeringovými odkazy.
Port SNMP je ve výchozím nastavení otevřen pouze pro službu Cisco Emergency Responder, která podporuje jeho funkce. Protože nepodporujeme partnery nebo zákazníky sledující aplikace UC nasazené v cloudu vyhrazené instance, neumožňujeme otevření portu SNMP pro žádné jiné aplikace UC. |
Porty v rozsahu 5063 až 5080 jsou společností Cisco vyhrazeny pro jiné cloudové integrace, správcům partnerů nebo zákazníků se doporučuje, aby tyto porty ve svých konfiguracích nepoužívali. |
Protokol |
TCP/UDP |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel | ||
---|---|---|---|---|---|---|---|---|
SSH (rozcestník) |
TCP |
Klient |
Aplikace UC
|
Větší než 1023 |
22 (číslo) |
Správa |
||
Rozhraní TFTP |
UDP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
69 (číslo) |
Starší podpora koncového bodu |
||
LDAP |
TCP |
Aplikace UC |
Externí adresář |
Větší než 1023 |
389 (číslo) |
Synchronizace adresáře s LDAP zákazníka |
||
HTTPS (rozcestník) |
TCP |
Prohlížeč |
Aplikace UC |
Větší než 1023 |
443 |
Webový přístup pro samoobslužná a administrativní rozhraní |
||
Odchozí pošta (ZABEZPEČENÁ) |
TCP |
Aplikace UC |
CUCXN (rozcestník) |
Větší než 1023 |
587 (číslo) |
Slouží k vytváření a odesílání zabezpečených zpráv určeným příjemcům |
||
LDAP (ZABEZPEČENÉ) |
TCP |
Aplikace UC |
Externí adresář |
Větší než 1023 |
636 (číslo) |
Synchronizace adresáře s LDAP zákazníka |
||
H323 (rozcestník) |
TCP |
Brána |
Služba Unified CM |
Větší než 1023 |
1720 (číslo) |
Signalizace hovoru |
||
H323 (rozcestník) |
TCP |
Služba Unified CM |
Služba Unified CM |
Větší než 1023 |
1720 (číslo) |
Signalizace hovoru |
||
SCCP (rozcestník) |
TCP |
Koncový bod |
Unified CM, CUCxn |
Větší než 1023 |
2000 v hudbě |
Signalizace hovoru |
||
SCCP (rozcestník) |
TCP |
Služba Unified CM |
Unified CM, brána |
Větší než 1023 |
2000 v hudbě |
Signalizace hovoru |
||
Vícesměrové souřadnice |
UDP |
Brána |
Brána |
Větší než 1023 |
2427 (číslo) |
Signalizace hovoru |
||
Zpětné spojení MGCP |
TCP |
Brána |
Služba Unified CM |
Větší než 1023 |
2428 (číslo) |
Signalizace hovoru |
||
SCCP (ZABEZPEČENÉ) |
TCP |
Koncový bod |
Unified CM, CUCxn |
Větší než 1023 |
2443 (číslo) |
Signalizace hovoru |
||
SCCP (ZABEZPEČENÉ) |
TCP |
Služba Unified CM |
Unified CM, brána |
Větší než 1023 |
2443 (číslo) |
Signalizace hovoru |
||
Ověření důvěryhodnosti |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
2445 (číslo) |
Poskytování služby ověřování důvěryhodnosti koncovým bodům |
||
Národní hokejové lize |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
2748 (číslo) |
Propojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager |
||
Zabezpečené CTI |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
2749 (číslo) |
Bezpečné připojení mezi aplikacemi CTI (JTAPI/TSP) a CTIManager |
||
Globální katalog LDAP |
TCP |
Aplikace UC |
Externí adresář |
Větší než 1023 |
3268 (číslo) |
Synchronizace adresáře s LDAP zákazníka |
||
Globální katalog LDAP |
TCP |
Aplikace UC |
Externí adresář |
Větší než 1023 |
3269 (číslo) |
Synchronizace adresáře s LDAP zákazníka |
||
Služba CAPF |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
3804 (číslo) |
Naslouchací port funkce proxy certifikační autority (CAPF) pro vydávání lokálně významných certifikátů (LSC) pro IP telefony |
||
Protokol SIP |
TCP |
Koncový bod |
Unified CM, CUCxn |
Větší než 1023 |
5060 (číslo) |
Signalizace hovoru |
||
Protokol SIP |
TCP |
Služba Unified CM |
Unified CM, brána |
Větší než 1023 |
5060 (číslo) |
Signalizace hovoru |
||
SIP (ZABEZPEČENÝ) |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
5061 (číslo) |
Signalizace hovoru |
||
SIP (ZABEZPEČENÝ) |
TCP |
Služba Unified CM |
Unified CM, brána |
Větší než 1023 |
5061 (číslo) |
Signalizace hovoru |
||
SIP (OAUTH) |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
5090 (číslo) |
Signalizace hovoru |
||
Záložník (fotbal) |
TCP |
Klient Jabber |
Cisco IM&P |
Větší než 1023 |
5222 (číslo) |
Instant Messaging a Presence |
||
HTTP |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
6970 (číslo) |
Stahování konfigurace a obrázků do koncových bodů |
||
HTTPS (rozcestník) |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
6971 (číslo) |
Stahování konfigurace a obrázků do koncových bodů |
||
HTTPS (rozcestník) |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
6972 (číslo) |
Stahování konfigurace a obrázků do koncových bodů |
||
HTTP |
TCP |
Klient Jabber |
CUCXN (rozcestník) |
Větší než 1023 |
7080 (číslo) |
Oznámení hlasové schránky |
||
HTTPS (rozcestník) |
TCP |
Klient Jabber |
CUCXN (rozcestník) |
Větší než 1023 |
7443 (číslo) |
Oznámení zabezpečené hlasové schránky |
||
HTTPS (rozcestník) |
TCP |
Služba Unified CM |
Služba Unified CM |
Větší než 1023 |
7501 (číslo) |
Používá se službou vyhledávání meziclusterů (ILS) pro ověřování na základě certifikátu |
||
HTTPS (rozcestník) |
TCP |
Služba Unified CM |
Služba Unified CM |
Větší než 1023 |
7502 (číslo) |
Používá ILS pro ověřování na základě hesla |
||
Počítačová grafika |
TCP |
Klient Jabber |
CUCXN (rozcestník) |
Větší než 1023 |
7993 (rozcestník) |
IMAP přes TLS |
||
HTTP |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
8080 (číslo) |
Identifikátor URI adresáře pro podporu starší koncové body |
||
HTTPS (rozcestník) |
TCP |
Prohlížeč, koncový bod |
Aplikace UC |
Větší než 1023 |
8443 (číslo) |
Webový přístup pro samoobslužná a administrativní rozhraní, UDS |
||
HTTPS (rozcestník) |
TCP |
Telefon |
Služba Unified CM |
Větší než 1023 |
9443 (rozcestník) |
Ověřené hledání kontaktů |
||
Kategorie: Letní olympijské hry |
TCP |
Koncový bod |
Služba Unified CM |
Větší než 1023 |
9444 (rozcestník) |
Funkce správy náhlavní soupravy |
||
Zabezpečené RTP/SRTP |
UDP |
Služba Unified CM |
Telefon |
16384 až 32767 * |
16384 až 32767 * |
Média (audio) - Hudba při přidržení hovoru, Annunciator, Softwarový konferenční most (otevřeno na základě signalizace hovoru) |
||
Zabezpečené RTP/SRTP |
UDP |
Telefon |
Služba Unified CM |
16384 až 32767 * |
16384 až 32767 * |
Média (audio) - Hudba při přidržení hovoru, Annunciator, Softwarový konferenční most (otevřeno na základě signalizace hovoru) |
||
COBRAS |
TCP |
Klient |
CUCXN (rozcestník) |
Větší než 1023 |
20532 |
Zálohování a obnovení sady aplikací |
||
Mezinárodní letiště ICMP |
Mezinárodní letiště ICMP |
Koncový bod |
Aplikace UC |
není k dispozici |
není k dispozici |
Ping |
||
Mezinárodní letiště ICMP |
Mezinárodní letiště ICMP |
Aplikace UC |
Koncový bod |
není k dispozici |
není k dispozici |
Ping |
||
DNS | UDP a TCP |
přesměrování DNS |
Servery DNS vyhrazené instance |
Větší než 1023 |
53 |
Přesměrování DNS zákazníka na servery DNS vyhrazené instance. Další informace naleznete v požadavcích DNS. |
||
* Některé zvláštní případy mohou použít větší rozsah. |
Vyhrazená instance – OTT porty
Zákazníci a partneři mohou pro nastavení MRA (Mobile and Remote Access) používat následující port:
Protokol |
UCP (rozcestník) |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
ZABEZPEČENÉ RTP/RTCP |
UDP |
Rychlostní silnice C |
Klient |
Větší než 1023 |
36000-59999 |
Zabezpečená média pro hovory MRA a B2B |
Mezioperační přenosový spoj SIP mezi multitenantem a vyhrazenou instancí (pouze pro přenosový spoj založený na registraci)
Pro registrační přenosový spoj SIP spoj mezi multitenantem a vyhrazenou instancí musí být v bráně firewall zákazníka povolen následující seznam portů.
Protokol |
UCP (rozcestník) |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
RTP (rozcestník) |
UDP |
Více klientů služby Webex Calling |
Klient |
Větší než 1023 |
8000-48198 |
Média z aplikace Webex Calling s více klienty |
Vyhrazená instance – porty UCCX
Zákazníci a partneři mohou ke konfiguraci řešení UCCX použít následující seznam portů.
Protokol |
TCP/UCP (programovací jazyk) |
Zdroj |
Cíl |
Zdrojový port |
Cílový port |
Účel |
---|---|---|---|---|---|---|
SSH (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
22 (číslo) |
SFTP a SSH |
Informační mix |
TCP |
Klient nebo server |
UCCX (rozcestník) |
Větší než 1023 |
1504 (číslo) |
Port databáze Contact Center Express |
Protokol SIP |
UDP a TCP |
server SIP GW nebo MCRP |
UCCX (rozcestník) |
Větší než 1023 |
5065 (číslo) |
Komunikace se vzdálenými uzly GW a MCRP |
Záložník (fotbal) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
5223 (číslo) |
Zabezpečené připojení XMPP mezi serverem Finesse a vlastními aplikacemi třetích stran |
Kategorie: Alternativní medicína |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
6999 (číslo) |
Editor aplikací CCX |
HTTPS (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
7443 (číslo) |
Zabezpečené připojení BOSH mezi serverem Finesse a desktopy agenta a supervizora pro komunikaci přes protokol HTTPS |
HTTP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8080 (číslo) |
Klienti sestav s živými daty se připojují k serveru socket.IO |
HTTP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8081 (číslo) |
Prohlížeč klienta, který se pokouší o přístup k webovému rozhraní Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8443 (číslo) |
Administrátorské GUI, RTMT, DB přístup přes SOAP |
HTTPS (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8444 (číslo) |
webové rozhraní aplikace Cisco Unified Intelligence Center |
HTTPS (rozcestník) |
TCP |
Klienti prohlížečů a REST |
UCCX (rozcestník) |
Větší než 1023 |
8445 (číslo) |
Zabezpečený port pro Finesse |
HTTPS (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8447 (číslo) |
HTTPS – online nápověda aplikace Unified Intelligence Center |
HTTPS (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
8553 (číslo) |
Komponenty jednotného přihlašování (SSO) přistupují k tomuto rozhraní a znají provozní stav systému Cisco Ids. |
HTTP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
9080 (číslo) |
Klienti, kteří se snaží získat přístup k HTTP triggerům nebo dokumentům / výzvám / gramatikám / živým datům. |
HTTPS (rozcestník) |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
9443 (rozcestník) |
Zabezpečený port používaný k reakci klientů, kteří se pokoušejí získat přístup ke spouštěčům protokolu HTTPS |
TCP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
2014 (číslo) |
Toto je port, kde se klienti s živými daty mohou připojit k socket.IO serveru |
TCP |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
2015 v hudbě |
Toto je port, kde se klienti s živými daty mohou připojit k socket.IO serveru |
Národní hokejové lize |
TCP |
Klient |
UCCX (rozcestník) |
Větší než 1023 |
2028 (číslo) |
Klient CTI třetí strany pro CCX |
RTP( média) |
TCP |
Koncový bod |
UCCX (rozcestník) |
Větší než 1023 |
Větší než 1023 |
Port médií je otevřen dynamicky podle potřeby |
RTP( média) |
TCP |
Klient |
Koncový bod |
Větší než 1023 |
Větší než 1023 |
Port médií je otevřen dynamicky podle potřeby |
Zabezpečení klienta
Zabezpečení aplikací Jabber a Webex pomocí protokolu SIP OAuth
Klienti Jabber a Webex jsou ověřováni pomocí tokenu OAuth namísto lokálně významného certifikátu (LSC), který nevyžaduje povolení proxy funkce certifikační autority (CAPF) (také pro MRA). Systém SIP OAuth pracující se smíšeným režimem nebo bez něj byl zaveden v aplikacích Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.
V aplikaci Cisco Unified CM 12.5 máme v profilu zabezpečení telefonu novou možnost, která umožňuje šifrování bez LSC/CAPF pomocí tokenu TLS + OAuth v registru SIP. Uzly Expressway-C používají rozhraní API pro správu XML Web Service (AXL) k informování systému Cisco Unified CM o SN/SAN v certifikátu. Cisco Unified CM používá tyto informace k ověření certifikátu Exp-C při navazování vzájemného připojení TLS.
SIP OAuth umožňuje šifrování médií a signalizace bez certifikátu koncového bodu (LSC).
Aplikace Cisco Jabber ke stažení konfiguračních souborů používá dočasné porty a zabezpečené porty 6971 a 6972 přes připojení protokolu HTTPS k serveru TFTP. Port 6970 je nezabezpečený port ke stažení přes HTTP.
Další podrobnosti o konfiguraci SIP OAuth: Režim SIP OAuth.
Požadavky DNS
Pro vyhrazenou instanci poskytuje společnost Cisco FQDN pro službu v každé oblasti v následujícím formátu <customer>.<region>.wxc-di.webex.com například, xyz.amer.wxc-di.webex.com.
Hodnotu „zákazníka“ poskytuje správce v rámci průvodce prvním nastavením (FTSW). Další informace naleznete v tématu Aktivace služby vyhrazené instance.
Záznamy DNS pro toto FQDN musí být řešitelné z interního serveru DNS zákazníka, aby bylo možné podporovat místní zařízení připojující se k vyhrazené instanci. Pro usnadnění rozlišení musí zákazník nakonfigurovat podmíněného přesměrování pro toto FQDN na svém serveru DNS odkazujícím na službu DNS vyhrazené instance. Služba DNS vyhrazené instance je regionální a lze ji kontaktovat prostřednictvím peeringu na vyhrazenou instanci pomocí následujících IP adres uvedených v tabulce níže IP adresy služby DNS vyhrazené instance.
Region/DC | IP adresa služby DNS vyhrazené instance |
Příklad podmíněného přesměrování |
---|---|---|
AMER |
<zákazník>.amer.wxc-di.webex.com | |
Komunistické strany Číny |
69.168.17.100 |
|
DFW (rozcestník) |
69.168.17.228 |
|
EMEA |
<zákazník>.emea.wxc-di.webex.com |
|
Kategorie: Jižní Korea |
178.215.138.100 |
|
Mezinárodní námořní pěchota |
178.215.138.228 |
|
EU |
<zákazník>.eu.wxc-di.webex.com |
|
francouzském |
178.215.131.100 |
|
Mezinárodní námořní pěchota |
178.215.131.228 |
|
APJC |
<zákazník>.apjc.wxc-di.webex.com |
|
HŘÍCH |
103.232.71.100 |
|
Kategorie: Jižní Afrika |
103.232.71.228 |
|
AUS |
<zákazník> Aus.wxc-di.webex.com | |
Minnesotě |
178.215.128.100 |
|
Syd (rozcestník) |
178.215.128.228 |
Volba ping je z bezpečnostních důvodů pro výše uvedené IP adresy serveru DNS zakázána. |
Dokud nebude k dispozici podmíněné přesměrování, zařízení se nebudou moci zaregistrovat do vyhrazené instance z interní sítě zákazníků prostřednictvím peeringových odkazů. Pro registraci prostřednictvím mobilního a vzdáleného přístupu (MRA) není vyžadováno podmíněné přesměrování, protože všechny požadované externí záznamy DNS pro usnadnění MRA budou společností Cisco předem zřízeny.
Při používání aplikace Webex jako volajícího softwarového klienta ve vyhrazené instanci je třeba v prostředí Control Hub nakonfigurovat profil aplikace UC Manager pro doménu hlasové služby (VSD) každé oblasti. Další informace naleznete v profilech správce UC v prostředí Cisco Webex Control Hub. Aplikace Webex bude moci automaticky vyřešit zákazníkovu Expressway Edge bez jakéhokoli zásahu koncového uživatele.
Po dokončení aktivace služby bude zákazníkovi poskytnuta doména hlasové služby jako součást přístupového dokumentu partnera. |
Použít místní směrovač pro rozlišení DNS telefonu
U telefonů, které nemají přístup k firemním serverům DNS, je možné použít místní směrovač Cisco k předávání požadavků DNS do cloudového DNS vyhrazené instance. To odstraňuje potřebu nasadit místní server DNS a poskytuje plnou podporu DNS včetně ukládání do mezipaměti.
Příklad konfigurace :
!
server IP DNS
název ip serveru <DI DNS IP DC1> <DI DNS server IP DC2>
!
Použití DNS v tomto modelu nasazení je specifické pro telefony a lze jej použít pouze k vyřešení FQDN s doménou od vyhrazené instance zákazníků. |
Odkazy
-
Referenční síťové návrhy řešení Cisco Collaboration 12.x (SRND), téma zabezpečení: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Příručka zabezpečení pro systém Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html