- Hjem
- /
- Artikel
Sikkerhedskrav til Webex Calling
This article is intended for network administrators, particularly firewall and proxy security administrators who want to use Webex Calling within their organization.
Få oplysninger om portreference for firewall og adgangskrav i Portreferenceoplysninger for Cisco Webex Calling.
Krav til slutpunkter
Webex Calling Edge
Hvis du vil udføre en SIP-registrering eller et SIP-opkald skal du udføre disse trin:
-
Find værtsadressen for et SIP-slutpunkt for aktive Edge-noder.
-
Sørg for, at alle forudsætninger relateret til bruger- og enhedskonfiguration er på plads.
-
Sørg for, at slutpunktet har en offentlig netværksforbindelse for at starte serviceregistrering.
-
Sørg for, at forudsætningerne for selvstart af slutpunktet med en regional eller datacenterspecifik klargøringskonfiguration er på plads. Denne konfiguration hjælper med at hente det relevante domænenavn til serviceregistrering.
IPv4 versus IPv6
Enheder kan fungere i tilstanden med en enkelt eller to stakke. Det er konfigurationen, der fastlægger ændringerne af den foretrukne protokol, og disse ændringer er ikke en del af serviceregistreringen.
-
Tilstand med enkelt stak – aktiverer kun én IP-protokol (f.eks. IPv4) og ignorerer de andre protokoladresser.
-
Tilstand med to stakke – vælger en foretrukken IP-version gennem konfiguration.
Klienten anser prioriteten for alle foretrukne adresser for at være lavere (det vil sige foretrukken) end alle IP'ens adresser. Hvis IPv4 foretrækkes, forsøges alle IPv4-adresser, før der forsøges med en IPv6-adresse. Hvis alle adresser mislykkes, starter cyklussen igen med den foretrukne protokoladresse med laveste prioritet.
En mobilklient, der tilmelder sig efter modtagelse af en push-besked, kan beslutte at optimere tilstanden baseret på tidligere registreringer.
Løsning af værtsadresse fra DNS SRV-adressen
I slutpunktskonfigurationsfilen, der hentes ved klargøring, angiver domæneindikatoren domænenavnet til registrering af Access Edge-tjenesten. Et eksempel på domænenavn er:
wxc.edge.bcld.webex.com
I eksemplet kan det slutpunkt, der udfører et DNS SRV-opslag for dette domæne, give et svar, der ligner følgende:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
I dette tilfælde peger SRV-posten på 3 A-poster.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
I eksemplet annonceres alle værter for kontaktport 5061 med forskellig vægtning og prioritet.
Overvej disse krav til slutpunkter.
-
Et slutpunkt skal bruge
_sips._tcp
(service- og protokolkombination) som præfiks til at udføre et DNS SRV-opslag for at få værtsadresse til at starte TLS-baseret kommunikation. -
Et slutpunkt skal foretage et DNS SRV-opslag for de betingelser, der er forklaret i afsnittet Løsning af værtsadresse fra DNS SRV-adressen.
-
Et slutpunkt skal efterkomme vært, port, vægtning og prioritet som annonceret for hver af værtsadresserne. Desuden skal det oprette en affinitet for vært til port, når der oprettes en socket-forbindelse under SIP-registrering.
-
Specifikt for brug af DNS SRV-post gælder det, at udvælgelseskriterierne for værter er baseret på prioritet og vægtning som forklaret i RFC 2782.
Krav til SIP og medier
Krav |
Description |
---|---|
Tillidscertifikat påkrævet til kryptering af offentlig nøgle |
Der henvises til artiklen for yderligere oplysninger om Webex-certifikaters underskriftsgodkendelse og rodnøgle påkrævet på enheder |
TLS-version understøttet til sikker SIP |
TLS 1.2 |
TLS-kryptering understøttes til sikker SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
SRTP-nøgler understøttes for sikre medier |
AES_CM_128_HMAC_SHA1_80 |
Krav til sikker SIP med mTLS (gensidig TLS)
Kravene forklares i detaljer her.
Et signeret certifikat er påkrævet for en vellykket godkendelse og bekræftelse af opkald fra trunken. Certifikatet skal overholde følgende krav:
-
Certifikatet skal være underskrevet af en CA, der er nævnt i Hvilke rodcertifikatmyndigheder understøttes for opkald til Cisco Webex-lyd- og videoplatforme?
-
Overfør den tillidspakke, der er nævnt i Hvilke rodcertifikatmyndigheder understøttes for opkald til Cisco Webex-lyd- og videoplatforme? på CUBE.
-
Certifikatet skal altid være gyldigt:
-
Signerede certifikater skal altid have en gyldig udløbsdato.
-
Rodcertifikater eller midlertidige certifikater skal have en gyldig udløbsdato og må ikke tilbagekaldes.
-
Certifikater skal være signeret for klient- og serverbrug.
-
Certifikater skal indeholde det fuldt kvalificerede domænenavn (FQDN) som et almindeligt navn eller et alternativt emnenavn i certifikatet med det FQDN, der er valgt i Control Hub. Eksempel:
-
En trunk, der er konfigureret fra din organisations Control Hub med london.lgw.cisco.com:5061 som FQDN, skal indeholde london.lgw.cisco.com i certifikatet, CN eller SAN.
-
En trunk, der er konfigureret fra din organisations Control Hub med london.lgw.cisco.com, som SRV'en, skal indeholde london.lgw.cisco.com i certifikatet, CN eller SAN. De poster, som SRV-adressen ekspederes til (CNAME/A-post/IP-adresse), er valgfri i SAN.
-
-
Du kan dele certifikater med mere end én lokal gateway, men sørg for, at FQDN-kravene er opfyldt.
-
Uden for anvendelsesområde
Denne artikel indeholder ikke følgende oplysninger om netværkssikkerhed:
-
F5-krav til CA og kryptering
-
En HTTP-baseret API til download af firewallregler for Webex.
-
API til et tillidsbundt
-
Firewallkrav og ALG-deaktivering