- Hjem
- /
- Artikel
Dette dokument fokuserer primært på netværks- og sikkerhedskravene til løsningen med dedikeret forekomst, herunder den lagdelte tilgang til de funktioner og funktioner, der giver sikker fysisk adgang, et sikkert netværk, sikre slutpunkter og sikre Cisco UC -applikationer.
Netværkskrav for dedikeret forekomst
Webex Calling Dedikeret Instance er en del af Cisco-cloud Calling-porteføljen, der leveres af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret forekomst tilbyder tale-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.
Denne artikel er beregnet til netværksadministratorer, især firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikeret forekomst i deres organisation.
Sikkerhedsoversigt: Sikkerhed i lag
Dedikeret forekomst bruger en lagdelt tilgang til sikkerhed. Lagene omfatter:
Fysisk adgang
Netværk
Slutpunkter
UC-applikationer
De følgende afsnit beskriver sikkerhedslagene i Dedikeret forekomst installationer.
Fysisk sikkerhed
Det er vigtigt at levere fysisk sikkerhed til Equinix Meet-Me-lokaleplaceringer og Cisco Dedikeret forekomst Datacenter faciliteter. Når den fysiske sikkerhed er kompromitteret, kan der startes simple angreb, såsom afbrydelse af tjenesten ved at lukke strømmen til en kundes switches. Med fysisk adgang kan hackere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang muliggør også mere avancerede angreb som f.eks. man-in-the-middle-angreb, hvorfor det andet sikkerhedslag, netværkssikkerheden, er kritisk.
Selvkrypterende drev bruges i Dedikeret forekomst Datacentre, der hoster UC-applikationer.
For yderligere oplysninger om generel sikkerhedspraksis henvises der til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netværkssikkerhed
Partnere skal sikre, at alle netværkselementer er sikret Dedikeret forekomst infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed som f.eks.:
Separat VLAN til tale og data
Aktivér portsikkerhed, der begrænser antallet af tilladte MAC adresser pr. port mod oversvømmelse af CAM-tabeller
IP kildebeskyttelse mod forfalskede IP -adresser
Dynamic ARP Inspection (DAI) undersøger ARP (Address Resolution Protocol) og GARP (gratuitous ARP) for overtrædelser (mod ARP-spoofing)
802.1x begrænser netværksadgangen til at godkende enheder på tildelte VLAN'er (telefoner understøtter 802.1x )
Konfiguration af Quality of Service (QoS) til passende mærkning af talepakker
Firewall porter konfigurationer for at blokere al anden trafik
Sikkerhed for slutpunkter
Cisco -slutpunkter understøtter standardsikkerhedsfunktioner såsom signeret firmware, sikker start (udvalgte modeller), producentinstalleret certifikat (MIC) og signerede konfigurationsfiler, som giver et vist sikkerhedsniveau for slutpunkter.
Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:
Krypter IP-telefon (via HTTPS) til tjenester som f.eks. Extension Mobility
Udsted lokalt signifikante certifikater ( CAPF ) fra CAPF ( proxy-funktion for certificate authority Function) eller en offentlig certifikatmyndighed (CA)
Krypter konfigurationsfiler
Krypter medier og signalering
Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC stemme VLAN -adgang, Gratuitous ARP, webadgang, knap til indstillinger, SSH, konsol
Implementering af sikkerhedsmekanismer i Dedikeret forekomst forhindrer identitetstyveri af telefoner og Unified CM-server, datamanipulation og manipulation med opkaldssignalering/mediestreaming.
Dedikeret forekomst over netværket:
Opretter og vedligeholder godkendte kommunikationsstreams
Signerer filer digitalt, før filen overføres til telefonen
Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP telefoner
Sikkerhed indeholder som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP telefoner:
Signering af telefonkonfiguration
Understøttelse af kryptering af telefonkonfiguration
HTTPS med Tomcat og andre webtjenester (MIDlets)
For Unified CM version 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre CTL klienten (Certificate Trust List).
TillidsbekræftelsestjenesteDa der er et stort antal telefoner på et netværk, og IP telefoner har begrænset hukommelse, fungerer Cisco Unified CM som et eksternt tillidslager via Trust Verification Service (TVS), så der ikke skal placeres et tillidscertifikatlager på hver telefon. Cisco IP telefoner kontakter TVS -serveren med henblik på bekræftelse, fordi de ikke kan bekræfte en signatur eller certifikat via CTL eller ITL-filer. Det er nemmere at administrere et centralt tillidslager end at have tillidslageret på hver Cisco Unified IP-telefon.
TVS gør det muligt for Cisco Unified IP telefoner at godkende applikationsservere, såsom EM -tjenester, telefonbog og MIDlet, under HTTPS-etablering.
Første tillidslisteITL-filen (Initial Trust List) bruges til den indledende sikkerhed, så slutpunkterne kan have tillid til Cisco Unified CM. ITL behøver ingen sikkerhedsfunktioner for at blive aktiveret eksplicit. ITL-filen oprettes automatisk, når klyngen er installeret. Unified CM Trivial File Transfer Protocol (TFTP)-serverens private nøgle bruges til at signere ITL-filen.
Når Cisco Unified CM -klyngen eller -serveren er i ikke-sikker tilstand, downloades ITL-filen på alle understøttede Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommando, admin:show itl.
Cisco IP telefoner skal bruge ITL-filen til at udføre følgende opgaver:
Kommuniker sikkert til CAPF, hvilket er en forudsætning for at understøtte kryptering af konfigurationsfilen
Godkend konfigurationsfilens signatur
Godkend applikationsservere, såsom EM tjenester, telefonbog og MIDlet under HTTPS-etablering ved hjælp af TVS
Enheds-, fil- og signaleringsgodkendelse afhænger af oprettelsen af CTL-filen (Certificate Trust List), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.
CTL-fil indeholder poster for følgende servere eller sikkerhedstokens:
Systemadministrators sikkerhedstoken (SAST)
Cisco CallManager og Cisco TFTP -tjenester, der kører på den samme server
Certificate Authority Proxy Function (CAPF)
TFTP -server(e)
ASA firewall
CTL-fil indeholder et servercertifikat, en offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS -navn og IP-adresse for hver server.
Telefonsikkerhed med CTL indeholder følgende funktioner:
Godkendelse af TFTP -downloadede filer (konfiguration, landestandard, ringeliste osv.) ved hjælp af en signeringsnøgle
Kryptering af TFTP konfigurationsfiler ved hjælp af en signeringsnøgle
Krypteret opkaldssignalering til IP telefoner
Krypteret opkaldslyd (medier) til IP telefoner
Dedikeret forekomst leverer slutpunktsregistrering og opkaldsbehandling. Signaleringen mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol ) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af TLS ( Transport Layer Security ). Mediet fra/til slutpunkterne er baseret på RTP(Real-time Transport Protocol) og kan også krypteres ved hjælp af Secure RTP (SRTP).
Aktivering af blandet tilstand på Unified CM muliggør kryptering af signalerings- og mediatrafik fra og til Cisco -slutpunkterne.
Sikre UC-applikationer
Aktivering af blandet tilstand i dedikeret forekomstBlandet tilstand er aktiveret som standard i Dedikeret forekomst .
Aktiverer blandet tilstand i Dedikeret forekomst giver mulighed for at udføre kryptering af signal- og mediatrafik fra og til Cisco -slutpunkterne.
I Cisco Unified CM version 12.5(1) blev der tilføjet en ny mulighed for at aktivere kryptering af signalering og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL for Jabber- og Webex -klienter. I Unified CM -version 12.5(1) kan SIP OAuth og SRTP derfor bruges til at aktivere kryptering af signalering og medier til Jabber- eller Webex -klienter. Aktivering af blandet tilstand er fortsat påkrævet for Cisco IP telefoner og andre Cisco -slutpunkter på nuværende tidspunkt. Der er en plan om at tilføje understøttelse af SIP OAuth i 7800/8800-slutpunkter i en fremtidig udgivelse.
Sikkerhed for talemeddelelserCisco Unity Connection opretter forbindelse til Unified CM via TLS -porten. Når enhedens sikkerhedstilstand er ikke-sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP -porten.
Hvis du vil konfigurere sikkerheden for Unified CM -porte til talemeddelelser og Cisco Unity -enheder, der kører SCCP eller Cisco Unity Connection -enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt voicemail-port, åbnes en TLS -forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet for den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede talestreams mellem enhederne.
Få flere oplysninger om sikkerhedsporte til talemeddelelser i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhed for SRST, trunks, gateways, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST)-aktiveret gateway giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM Dedikeret forekomst kan ikke fuldføre opkaldet.
Sikre SRST-aktiverede gateways indeholder et selvsigneret certifikat. Når en partner udfører SRST -konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS -forbindelse til at godkende med tjenesten Certificate Provider i den SRST-kompatibel gateway. Unified CM henter derefter certifikatet fra den SRST-kompatibel gateway og føjer certifikatet til Unified CM -databasen.
Når partneren nulstiller de afhængige enheder i Unified CM-administration, tilføjer TFTP -serveren det SRST-kompatibel gateway gatewaycertifikat til telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruger derefter en TLS -forbindelse til at interagere med den SRST-kompatibel gateway.
Det anbefales at have sikre trunks til opkald, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN -opkald eller traversing gennem Cisco Unified Border Element (CUBE).
SIP trunks kan understøtte sikre opkald både til signalering og medier; TLS giver signalkryptering, og SRTP giver mediekryptering.
Sikring af kommunikation mellem Cisco Unified CM og CUBE
For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selvsigneret certifikat eller CA-signerede certifikater.
For selvsignerede certifikater:
CUBE og Cisco Unified CM genererer selvsignerede certifikater
CUBE eksporterer certifikatet til Cisco Unified CM
Cisco Unified CM eksporterer certifikatet til CUBE
For CA-underskrevne certifikater:
Klienten genererer et nøglepar og sender en Certificate Signing Request (CSR) til Certificate Authority (CA)
CA signerer den med sin private nøgle og opretter et identitetscertifikat
Klienten installerer listen over CA-rod- og mellemliggende certifikater, der er tillid til, og identitetscertifikatet
Sikkerhed for eksterne slutpunkter
Med Mobile and Remote Access -slutpunkter (MRA) krypteres signaleringen og mediet altid mellem MRA-slutpunkterne og Expressway-knuderne. Hvis ICE-protokollen (Interactive Connectivity Establishment) bruges til MRA-slutpunkter, er signalering og mediekryptering af MRA-slutpunkter påkrævet. Men kryptering af signalering og medier mellem Expressway-C og de interne Unified CM -servere, interne slutpunkter eller andre interne enheder kræver blandet tilstand eller SIP OAuth.
Cisco Expressway giver sikker firewallovergang og understøttelse af Unified CM -registreringer på linje. Unified CM giver opkaldskontrol til både mobile og lokale slutpunkter. Signalering krydser Expressway-løsningen mellem det eksterne slutpunkt og Unified CM. Medier krydser Expressway-løsningen og videresendes direkte mellem slutpunkterne. Alle medier krypteres mellem Expressway-C og det mobile slutpunkt.
Enhver MRA-løsning kræver Expressway og Unified CM med MRA-kompatible softklienter og/eller faste slutpunkter. Løsningen kan valgfrit omfatte IM og tilstedeværelsestjeneste og Selvbetjeningsportal forbindelse.
Protokoloversigt
Følgende tabel viser de protokoller og tilknyttede tjenester, der bruges i Unified CM -løsningen.
Protokol | Sikkerhed | Service |
---|---|---|
SIP | TLS | Sessionsetablering: Tilmelding, invitation osv. |
HTTPS | TLS | Logon, provisionering/konfiguration, telefonbog, visuel telefonsvarer |
Medie | SRTP | Medie: Lyd, video, indholdsdeling |
XMPP | TLS | Meddelelser, tilstedeværelse, føderation |
Få flere oplysninger om MRA-konfiguration på: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsvalgmuligheder
Den Dedikeret forekomst giver Partner fleksibilitet til at tilpasse tjenester til slutbrugere gennem fuld kontrol over dag to-konfigurationer. Som følge heraf er partneren eneansvarlig for korrekt konfiguration af Dedikeret forekomst service til slutbrugerens miljø. Dette omfatter, men ikke begrænset til:
Valg af sikre/ikke-sikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forstå eventuelle tilknyttede risici.
For alle MAC adresser, der ikke er konfigureret som sikre - SIP in Dedikeret forekomst , kan en hacker sende SIP -registreringsmeddelelse ved hjælp af den pågældende MAC-adresse og være i stand til at foretage SIP -opkald, hvilket resulterer i betalingssvig. Forudsætningen er, at hackeren kan registrere sin SIP-enhed/software til Dedikeret forekomst uden tilladelse, hvis de kender MAC-adresse for en enhed, der er registreret i Dedikeret forekomst .
Expressway-E-opkaldspolitikker, transformation og søgningsregler skal konfigureres for at forhindre svindel med gebyrer. For yderligere oplysninger om forebyggelse af betalingssvig ved brug af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Samarbejde SRND .
Konfiguration af opkaldsplan for at sikre, at brugere kun kan foretage opkald til destinationer, der er tilladt, f.eks. forbyde nationale/internationale opkald, nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved hjælp af opkaldsplan, se Opkaldsplan afsnittet i SRND for samarbejde.
Certifikatkrav til sikre forbindelser i dedikeret forekomst
For dedikerede forekomster leverer Cisco domænet og signerer alle certifikaterne for UC-applikationerne ved hjælp af en offentlig Certificate Authority (CA).
Dedikeret forekomst – portnumre og protokoller
Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en given kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP versus SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau for at bestemme, hvilke porte der skal bruges i hver installation.
Dedikeret forekomst tillader ikke NAT (Network Address Translation) mellem slutpunkter og Unified CM, da nogle af opkaldsflowfunktionerne ikke fungerer, f.eks. funktionen mellem opkald. |
Dedikeret forekomst – kundeporte
De porte, der er tilgængelige for kunder – mellem den lokale kunde og den dedikerede forekomst er vist i tabel 1 Dedikerede forekomstkundeporte . Alle de porte, der er angivet nedenfor, er til kundetrafik, der krydser peering-links.
SNMP-port er som standard kun åben for Cisco Emergency Responder for at understøtte dens funktionalitet. Da vi ikke understøtter partnere eller kunder, der overvåger de UC-applikationer, der er installeret i skyen Dedikeret forekomst, tillader vi ikke åbning af SNMP-port for andre UC-applikationer. |
Porte i området 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer. Partnere eller kundeadministratorer anbefales ikke at bruge disse porte i deres konfigurationer. |
Protokol | TCP/UDP | Source | Destination | Kildeport | Destinationsport | Formål | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
klient |
UC-applikationer
|
Større end 1023 |
22 |
Administration |
||
TFTP |
UDP |
Slutpunkt |
Unified CM |
Større end 1023 |
69 |
Understøttelse af ældre slutpunkter |
||
LDAP |
TCP |
UC-applikationer |
Ekstern telefonbog |
Større end 1023 |
389 |
Katalogsynkronisering til kundens LDAP |
||
HTTPS |
TCP |
Browser |
UC-applikationer |
Større end 1023 |
443 |
Webadgang til egen pleje og administrative grænseflader |
||
Udgående e-mail (SIKR) |
TCP |
UC-applikation |
CUCxn |
Større end 1023 |
587 |
Bruges til at skrive og sende sikre meddelelser til alle udpegede modtagere |
||
LDAP (SIKKER) |
TCP |
UC-applikationer |
Ekstern telefonbog |
Større end 1023 |
636 |
Katalogsynkronisering til kundens LDAP |
||
H323 |
TCP |
Gateway |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignalering |
||
H323 |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignalering |
||
SCCP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2000 |
Opkaldssignalering |
||
SCCP |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
2000 |
Opkaldssignalering |
||
MGCP |
UDP |
Gateway |
Gateway |
Større end 1023 |
2427 |
Opkaldssignalering |
||
MGCP-backhaul |
TCP |
Gateway |
Unified CM |
Større end 1023 |
2428 |
Opkaldssignalering |
||
SCCP (SIKKERT) |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2443 |
Opkaldssignalering |
||
SCCP (SIKKERT) |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
2443 |
Opkaldssignalering |
||
Tillidsbekræftelse |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2445 |
Leverer tillidsbekræftelsestjeneste til slutpunkter |
||
CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2748 |
Forbindelse mellem CTI -applikationer (JTAPI/TSP) og CTIManager |
||
Sikker CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2749 |
Sikker forbindelse mellem CTI -applikationer (JTAPI/TSP) og CTIManager |
||
Globalt LDAP -katalog |
TCP |
UC-applikationer |
Ekstern telefonbog |
Større end 1023 |
3268 |
Katalogsynkronisering til kundens LDAP |
||
Globalt LDAP -katalog |
TCP |
UC-applikationer |
Ekstern telefonbog |
Større end 1023 |
3269 |
Katalogsynkronisering til kundens LDAP |
||
CAPF tjeneste |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
3804 |
CAPF ( Certificate Authority Proxy Function) lytteport til udstedelse af LSC(Locally Significant Certificates) til IP telefoner |
||
SIP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
5060 |
Opkaldssignalering |
||
SIP |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
5060 |
Opkaldssignalering |
||
SIP (SIKKERT) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5061 |
Opkaldssignalering |
||
SIP (SIKKERT) |
TCP |
Unified CM |
Unified CM, gateway |
Større end 1023 |
5061 |
Opkaldssignalering |
||
SIP (OAUTH) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5090 |
Opkaldssignalering |
||
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Større end 1023 |
5222 |
Meddelelser og tilstedeværelse |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6970 |
Downloader konfiguration og billeder til slutpunkter |
||
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6971 |
Downloader konfiguration og billeder til slutpunkter |
||
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6972 |
Downloader konfiguration og billeder til slutpunkter |
||
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7080 |
Underretninger om telefonsvarer |
||
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7443 |
Sikker besked til telefonsvarer |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7501 |
Bruges af Intercluster Lookup Service (ILS) til certifikatbaseret godkendelse |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7502 |
Bruges af ILS til adgangskodebaseret godkendelse |
||
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7993 |
IMAP over TLS |
||
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
8080 |
Katalog- URI til understøttelse af ældre slutpunkter |
||
HTTPS |
TCP |
Browser, slutpunkt |
UC-applikationer |
Større end 1023 |
8443 |
Webadgang til egenomsorg og administrative grænseflader, UDS |
||
HTTPS |
TCP |
Telefon |
Unified CM |
Større end 1023 |
9443 |
Autentificeret kontaktsøgning |
||
HTTPs |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
9444 |
Funktion til administration af hovedtelefoner |
||
Sikker RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – Musik i venteposition, annunciator, softwarekonferencebro (åben baseret på opkaldssignalering) |
||
Sikker RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – Musik i venteposition, annunciator, softwarekonferencebro (åben baseret på opkaldssignalering) |
||
COBRAS |
TCP |
klient |
CUCxn |
Større end 1023 |
20532 |
Sikkerhedskopi og gendan applikationspakke |
||
ICMP |
ICMP |
Slutpunkt |
UC-applikationer |
ikke relevant |
ikke relevant |
Ping |
||
ICMP |
ICMP |
UC-applikationer |
Slutpunkt |
ikke relevant |
ikke relevant |
Ping |
||
DNS | UDP og TCP | DNS-videresendelse |
DNS-servere for dedikeret forekomst |
Større end 1023 |
53 | Kunden angiver DNS-videresendere til dedikerede forekomst-DNS-servere. Se DNS-krav for yderligere oplysninger. |
||
* Visse særlige tilfælde kan bruge et større interval. |
Dedikeret forekomst – OTT-porte
Følgende port kan bruges af kunder og partnere til opsætning af mobil og Remote Access (MRA):
Protokol | TCP/UCP | Source | Destination | Kildeport | Destinationsport | Formål |
---|---|---|---|---|---|---|
SIKKER RTP/ RTCP |
UDP |
Motorvej C |
klient |
Større end 1023 |
36.000-59.999 |
Secure Media til MRA- og B2B-opkald |
Interop SIP-trunk mellem multilejer og dedikeret forekomst (kun for registreringsbaseret trunk)
Følgende liste over porte skal tillades på kundens firewall for den registreringsbaserede SIP-trunk, der forbinder multilejer og dedikeret forekomst.
Protokol | TCP/UCP | Source | Destination | Kildeport | Destinationsport | Formål |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling-multilejer |
klient |
Større end 1023 |
8000-48198 |
Medier fra Webex Calling-multilejer |
Dedikeret forekomst – UCCX-porte
Følgende liste over porte kan bruges af kunder og partnere til konfiguration af UCCX.
Protokol | TCP /UCP | Source | Destination | Kildeport | Destinationsport | Formål |
---|---|---|---|---|---|---|
SSH |
TCP |
klient |
UCCX |
Større end 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Større end 1023 |
1504 |
Databaseport til Contact Center Express |
SIP |
UDP og TCP |
SIP GW- eller MCRP-server |
UCCX |
Større end 1023 |
5065 |
Kommunikation til eksterne GW- og MCRP-knuder |
XMPP |
TCP |
klient |
UCCX |
Større end 1023 |
5223 |
Sikker XMPP -forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer |
CVD |
TCP |
klient |
UCCX |
Større end 1023 |
6999 |
Editor til CCX-applikationer |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
7443 |
Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisorskriveborde til kommunikation over HTTPS |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8080 |
Kunder, der rapporterer live-data, opretter forbindelse til en socket.IO-server |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8081 |
Klientbrowser forsøger at få adgang til Cisco Unified Intelligence Center webgrænseflade |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8443 |
AdministratorGUI, RTMT, DB-adgang via SOAP |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8444 |
Cisco Unified Intelligence Center webgrænseflade |
HTTPS |
TCP |
Browser- og REST-klienter |
UCCX |
Større end 1023 |
8445 |
Sikker port til Finesse |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8447 |
HTTPS – onlinehjælp til Unified Intelligence Center |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8553 |
Enkeltlogon-komponenter (SSO) får adgang til denne grænseflade for at kende driftsstatussen for Cisco IdS. |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
9080 |
Klienter, der forsøger at få adgang til HTTP-udløsere eller dokumenter/prompter/grammatikker/ livedata. |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
9443 |
Sikker port bruges til at svare på klienter, der forsøger at få adgang til HTTPS-udløsere |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12014 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12015 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
CTI |
TCP |
klient |
UCCX |
Større end 1023 |
12028 |
CTI-klient fra tredjepart til CCX |
RTP(medie) |
TCP |
Slutpunkt |
UCCX |
Større end 1023 |
Større end 1023 |
Medieporten åbnes dynamisk efter behov |
RTP(medie) |
TCP |
klient |
Slutpunkt |
Større end 1023 |
Større end 1023 |
Medieporten åbnes dynamisk efter behov |
Klientsikkerhed
Sikring af Jabber og Webex med SIP OAuth
Jabber- og Webex klienter godkendes via et OAuth-token i stedet for et lokalt signifikant certifikat (LSC ), som ikke kræver aktivering af CAPF ( proxy-funktion for certificate authority Function) (også for MRA). SIP OAuth, der fungerer med eller uden blandet tilstand, blev introduceret i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi en ny valgmulighed i Phone Security Profile, der muliggør kryptering uden LSC/ CAPF ved hjælp af single Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-knuder bruger AXL (Administrative XML Web Service API) til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certifikatet, når der oprettes en fælles TLS -forbindelse.
SIP OAuth muliggør medie- og signalkryptering uden et slutpunktscertifikat (LSC).
Cisco Jabber bruger kortvarige porte og sikre porte 6971- og 6972-porte via HTTPS-forbindelse til TFTP -serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.
Flere oplysninger om SIP OAuth-konfiguration: SIP OAuth-tilstand .
DNS-krav
For dedikerede forekomster leverer Cisco FQDN for tjenesten i hver region med følgende format<customer> .<region> .wxc-di.webex.com f.eks. xyz.amer.wxc-di.webex.com .
'Kunde'-værdien angives af administratoren som en del af Guide til den første opsætning (FTSW). For yderligere oplysninger henvises til Dedikeret aktivering af forekomsttjeneste .
DNS -poster for dette FQDN skal kunne løses fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette løsningen skal kunden konfigurere en betinget videresendelse til dette FQDN på sin DNS-server, der peger på den dedikerede DNS -tjeneste for forekomster. Den dedikerede forekomst DNS -tjeneste er regional og kan nås via peering til dedikeret forekomst ved hjælp af følgende IP -adresser som nævnt i nedenstående tabel Dedikeret IP -adresse for DNS -tjeneste for forekomst .
Region/DC | Dedikeret IP -adresse for DNS -tjeneste for forekomst | Eksempel på betinget videresendelse |
---|---|---|
Nord- og Sydamerika (AMER) |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
Asien og Stillehavsområdet, Japan og Kina (APJC) |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping-indstillingen er deaktiveret for de ovennævnte IP -adresser til DNS-server af sikkerhedsmæssige årsager. |
Indtil den betingede videresendelse er på plads, vil enheder ikke være i stand til at tilmelde sig den dedikerede forekomst fra kundens interne netværk via peering-links. Betinget videresendelse er ikke påkrævet for tilmelding via Mobile and Remote Access (MRA), da alle de påkrævede eksterne DNS -poster for at lette MRA vil blive klargjort på forhånd af Cisco.
Når du bruger Webex -applikationen som din opkaldssoftklient på dedikeret forekomst, skal der konfigureres en UC Manager-profil i Control Hub for hver regions Voice Service Domain (VSD). For yderligere oplysninger henvises til UC Manager-profiler i Cisco Webex Control Hub . Webex -applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen form for indgriben fra slutbrugeren.
Voice Service Domain vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktiveringen er fuldført. |
Referencer
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), sikkerhedsemne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sikkerhedsvejledning til Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html