- Hjem
- /
- Artikel
Netværks- og sikkerhedskrav til dedikerede tilfælde
Netværks- og sikkerhedskrav til løsningen for dedikeret forekomst er den layerede tilgang til de funktioner og funktionalitet, der giver sikker fysisk adgang, netværk, slutpunkter og Cisco UC-applikationer. Den beskriver netværkskravene og angiver de adresser, porte og protokoller, der bruges til at tilslutte dine slutpunkter til tjenesterne.
Netværkskrav for dedikeret forekomst
Webex-opkald er en del af Cisco Cloud Calling-porteføljen, drevet af Cisco Unified Communications Manager (Cisco Unified CM) samarbejdsteknologi. Dedikeret instans tilbyder stemme-, video-, meddelelses- og mobilitetsløsninger med funktionerne og fordelene ved Cisco IP-telefoner, mobilenheder og desktopklienter, der opretter sikker forbindelse til den dedikerede forekomst.
Denne artikel er beregnet til netværksadministratorer, særligt firewall- og proxysikkerhedsadministratorer, der ønsker at bruge dedikerede tilfælde inden for deres organisation.
Sikkerhedsoversigt: Sikkerhed i lag
Dedikeret tilfælde bruger en laget tilgang til sikkerhed. Lagene inkluderer:
-
Fysisk adgang
-
Netværk
-
Slutpunkter
-
UC-applikationer
Følgende afsnit beskriver sikkerhedslagene i implementeringer af dedikerede tilfælde.
Fysisk sikkerhed
Det er vigtigt at sørge for fysisk sikkerhed til Equinix's lokaler til møder med mig og faciliteter til Cisco-dedikerede forekomstdatacentre. Når den fysiske sikkerhed er kompromitteret, kan simple angreb, såsom driftsforstyrrelser ved at lukke for strøm til en kundes switches, startes. Med fysisk adgang kan brugere få adgang til serverenheder, nulstille adgangskoder og få adgang til switches. Fysisk adgang letter også mere angreb, som man-in-the-middle, hvilket er årsagen til, at det andet sikkerhedslag, netværkssikkerheden, er meget vigtigt.
Selvkrypteringsdrev bruges i dedikerede tilfælde-datacentre , der er vært for UC-applikationer.
For yderligere oplysninger om generelle sikkerhedspraksis henvises til dokumentationen på følgende placering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netværkssikkerhed
Partnere skal sikre, at alle netværkselementer er sikre i Dedikeret instance-infrastruktur (som opretter forbindelse via Equinix). Det er partnerens ansvar at sikre bedste praksis for sikkerhed, såsom:
-
Separat VLAN for stemme og data
-
Aktivér Port Security, som begrænser antallet af MAC-adresser tilladt pr. port, mod cam-tabellens indhold
-
IP-kildeobjekt over for spooferede IP-adresser
-
Dynamisk ARP-inspektion (DAI) undersøger adresseopløsningsprotokol (ARP) og gryende ARP (GARP) for overtrædelser (mod ARP-spoofing)
-
802. begrænser1x netværksadgang til godkendte enheder på tildelte VLAN'er (telefoner understøtter 802.1x)
-
Konfiguration af tjenestekvalitet (QoS) for passende mærkning af stemmepakker
-
Konfigurationer af firewall-porte til blokering af al anden trafik
Sikkerhed for slutpunkter
Cisco-slutpunkter understøtter standardsikkerhedsfunktioner såsom underskrevet firmware, sikker opstart (valgte modeller), producentens installerede certifikat (MIC) og underskrevne konfigurationsfiler, som giver et bestemt sikkerhedsniveau for slutpunkter.
Derudover kan en partner eller kunde aktivere yderligere sikkerhed, såsom:
-
Krypter IP-telefontjenester (via HTTPS) for tjenester såsom lokalnummermobilitet
-
Udstedelse af lokalt vigtige certifikater (LSCs) fra certifikatmyndighedens proxyfunktion (CAPF) eller en offentlig certifikatmyndighed (CA)
-
Krypter konfigurationsfiler
-
Krypter medier og signal
-
Deaktiver disse indstillinger, hvis de ikke bruges: PC-port, PC Voice VLAN-adgang, dekomisk ARP, Web Access, knappen Indstillinger, SSH, konsol
Implementeringen af sikkerhed mekanismerne i den dedikerede instans forhindrer identitetsstrukner fra telefonerne og Unified CM-serveren, ændring af data og opkaldssignalering/mediestream-ændring.
Dedikeret forekomst via netværket:
-
Etablerer og opretholder godkendte kommunikationsstreams
-
Signerer filer digitalt, før filen overføres til telefonen
-
Krypterer mediestreams og opkaldssignalering mellem Cisco Unified IP-telefoner
Sikkerhed giver som standard følgende automatiske sikkerhedsfunktioner til Cisco Unified IP-telefoner:
-
Underskrivning af telefonkonfigurationsfilerne
-
Support til telefonkonfigurationsfilkryptering
-
HTTPS med Tomcat og andre webtjenester (MIDlets)
Til Unified CM Release 8.0 senere leveres disse sikkerhedsfunktioner som standard uden at køre klienten certificate Trust List (CTL).
TillidsbekræftelsestjenesteFordi der er mange telefoner på et netværk, og IP-telefoner har begrænset hukommelse, fungerer Cisco Unified CM som en ekstern tillidsbutik via tillidsbekræftelsestjenesten (TVS), så en certifikattillidsbutik ikke skal placeres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for verificering, fordi de ikke kan bekræfte en underskrift eller certifikat gennem CTL- eller ITL-filer. Det er nemmere at administrere en central tillidsbutik end at have tillid til hver Cisco Unified IP-telefon.
TVS gør det Cisco Unified IP-telefoner til at godkende applikationsservere, såsom EM-tjenester, telefonbog og MIDlet, under brug af HTTPS.
Første tillidslisteDen indledende tillidsliste (ITL)-fil bruges til den indledende sikkerhed, så slutpunkterne kan have tillid Cisco Unified CM. ITL behøver ikke nogen sikkerhedsfunktioner for at blive aktiveret udtrykkeligt. ITL-filen oprettes automatisk, når klyngen er installeret. Serverens private nøgle til Unified CM Trivial File Transfer Protocol (TFTP) bruges til at underskrive ITL-filen.
Når den Cisco Unified CM-klynge eller server er i ikke-sikker tilstand, downloades ITL-filen på hver understøttet Cisco IP-telefon. En partner kan se indholdet af en ITL-fil ved hjælp af CLI-kommandoen, admin:show itl.
Cisco IP-telefoner skal bruge ITL-filen for at udføre følgende opgaver:
-
Kommunikere sikkert til CAPF, en forudsætning for at understøtte konfigurationsfilkryptering
-
Godkend konfigurationsfilsignaturen
-
Godkend applikationsservere, såsom EM-tjenester, telefonbog og MIDlet under HTTPS-brug af TVS
Godkendelse af enhed, fil og signal afhænger af oprettelsen af filen Certificate Trust List (CTL), som oprettes, når partneren eller kunden installerer og konfigurerer Cisco-certifikattillidslisteklienten.
CTL-filen indeholder poster til følgende servere eller sikkerhedspoletter:
-
Systemadministrators sikkerhedstoken (VEDR.)
-
Cisco CallManager og Cisco TFTP-tjenester, der kører på den samme server
-
Certifikatmyndighedens proxyfunktion (CAPF)
-
TFTP-server(e)
-
ASA-firewall
CTL-filen indeholder et servercertifikat, offentlig nøgle, serienummer, signatur, udstedernavn, emnenavn, serverfunktion, DNS-navn og IP-adresse for hver server.
Telefonsikkerhed med CTL leverer følgende funktioner:
-
Godkendelse af TFTP-downloadede filer (konfiguration, lokalisering, ringliste, og så videre) ved hjælp af en signeringsnøgle
-
Kryptering af TFTP-konfigurationsfiler ved hjælp af en signeringsnøgle
-
Krypteret opkaldssignal til IP-telefoner
-
Krypteret opkaldslyd (medier) til IP-telefoner
Dedikeret forekomst giver slutpunktsregistrering og behandling af opkald. Signalet mellem Cisco Unified CM og slutpunkter er baseret på SCCP (Secure Skinny Client Control Protocol) eller Session Initiation Protocol (SIP) og kan krypteres ved hjælp af Transport Layer Security (TLS). Mediet fra/til slutpunkterne er baseret på realtids transportprotokol (RTP) og kan også krypteres ved hjælp af Secure RTP (SRTP).
Aktivering af blandet tilstand på Unified CM muliggør kryptering af signal og medietrafik fra og til Cisco-slutpunkter.
Sikre UC-applikationer
Aktivering af blandet tilstand i dedikeret forekomstBlandet tilstand er aktiveret som standard i dedikeret forekomst.
Aktivering af blandet tilstand i dedikeret tilfælde aktiverer muligheden for at udføre kryptering af signalet og medietrafikken fra og til Cisco-slutpunkterne.
I Cisco Unified CM udgivelse 12.5(1) blev en ny valgmulighed til at aktivere kryptering af signal og medier baseret på SIP OAuth i stedet for blandet tilstand/ CTL tilføjet for Jabber- og Webex-klienter. Derfor kan SIP OAuth og SRTP i Unified CM-version 12.5(1) bruges til at aktivere kryptering for signal og medier for Jabber eller Webex-klienter. Aktivering af blandet tilstand er fortsat nødvendig for Cisco IP-telefoner og andre Cisco-slutpunkter på nuværende tidspunkt. Der er en plan for at tilføje support til SIP OAuth i 7800/8800 slutpunkter i en fremtidig udgivelse.
Sikkerhed for talemeddelelserCisco Unity Connection tilslutter til Unified CM via TLS-porten. Når enhedens sikkerhedstilstand ikke er sikker, opretter Cisco Unity Connection forbindelse til Unified CM via SCCP-porten.
For at konfigurere sikkerheden for Unified CM-telefonsvarerporte og Cisco Unity-enheder, der kører SCCP eller Cisco Unity Connection-enheder, der kører SCCP, kan en partner vælge en sikker enhedssikkerhedstilstand for porten. Hvis du vælger en godkendt indtalt besked-port, åbnes en TLS-forbindelse, som godkender enhederne ved hjælp af en gensidig certifikatudveksling (hver enhed accepterer certifikatet fra den anden enhed). Hvis du vælger en krypteret voicemail-port, godkender systemet først enhederne og sender derefter krypterede stemmestreams mellem enhederne.
For yderligere oplysninger om porte til beskeder om sikkerhed, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhed for SRST, trunks, gateways, CUBE/SBC
En Cisco Unified gateway til ekstern webstedstelefoni (SRST) giver begrænsede opkaldsbehandlingsopgaver, hvis Cisco Unified CM på en dedikeret forekomst ikke kan gennemføre opkaldet.
Sikre SRST-aktiverede gateways indeholder et selv underskrevet certifikat. Når en partner udfører SRST-konfigurationsopgaver i Unified CM-administration, bruger Unified CM en TLS-forbindelse til at godkende med certifikatudbydertjenesten i den SRST-aktiverede gateway. Unified CM henter derefter certifikatet fra den SRST-aktiverede gateway og tilføjer certifikatet til Unified CM-databasen.
Efter partner nulstiller de afhængig enheder i Unified CM administration, tilføjer TFTP-serveren SRST-aktiveret gateway certifikat til telefonen cnf.xml filen og sender filen til telefonen. En sikker telefon bruger derefter en TLS-forbindelse til at interagere med den SRST-aktiverede gateway.
Det anbefales at have sikre trunks til opkaldet, der stammer fra Cisco Unified CM til gatewayen for udgående PSTN-opkald eller passage gennem Cisco Unified Border Element (CUBE).
SIP-trunks kan understøtte sikre opkald både til signal såvel som medier; TLS leverer signalkryptering, og SRTP giver mediekryptering.
Sikring af kommunikation mellem Cisco Unified CM og CUBE
For sikker kommunikation mellem Cisco Unified CM og CUBE skal partnere/kunder bruge enten selv underskrevne certifikater eller CA-underskrevne certifikater.
For selv underskrevne certifikater:
-
CUBE og Cisco Unified CM generere selv underskrevne certifikater
-
CUBE eksportcertifikat til Cisco Unified CM
-
Cisco Unified CM eksportcertifikat til CUBE
For CA-underskrevne certifikater:
-
Klienten opretter et nøglepar og sender en anmodning om underskrift af certifikat (CSR) til certifikatmyndigheden (CA)
-
CA signerer den med dens private nøgle og opretter et identitetscertifikat
-
Klienten installerer listen over nøglecentercertifikater, der er tillid til, samt certifikater for rod og sikkerhed samt identitetscertifikatet
Sikkerhed for eksterne slutpunkter
Med Mobile og Remote Access (MRA) slutpunkter krypteres signaler og medier altid mellem MRA-slutpunkterne og Expressway knudepunkter. Hvis ICE -protokollen (Interactive Connectivity Båndbredde) bruges til MRA-slutpunkter, kræves der signal- og mediekryptering af MRA-slutpunkterne. Kryptering af signaler og medier mellem Expressway-C og de interne Unified CM-servere, interne slutpunkter eller andre interne enheder kræver dog blandet tilstand eller SIP OAuth.
Cisco Expressway sikker firewall-traversal og linje-side-support til Unified CM-registreringer. Unified CM leverer opkaldskontrol til både mobile og lokale slutpunkter. Signalerer krydser Expressway mellem det eksterne slutpunkt og Unified CM. Medie krydser Expressway og videresendes direkte mellem slutpunkter. Alle medier krypteres mellem det Expressway-C og det mobile slutpunkt.
Enhver MRA-løsning Expressway og Unified CM med MRA-kompatible soft clients og/eller faste slutpunkter. Løsningen kan eventuelt indeholde IM og Tilstedeværelsestjenesten og Unity Connection.
Sammendrag af protokol
Følgende tabel viser protokollerne og tilknyttede tjenester, der bruges i Unified CM-løsningen.
Protocol |
Sikkerhed |
Service |
---|---|---|
SIP |
TLS |
Session, der er til sammensyning: Tilmeld, inviter osv. |
HTTPS |
TLS |
Login, provisionering/konfiguration, adressebog, visuel indtalt besked |
Medie |
SRTP |
Medier: Lyd, video, indholdsdeling |
XMPP |
TLS |
Chat, tilstedeværelse, sammenslutning |
For yderligere oplysninger om MRA-konfiguration, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsvalgmuligheder
Den dedikerede instans giver partneren fleksibilitet til at brugertilpasse tjenester til slutbrugere ved hjælp af fuld kontrol over dag to konfigurationer. Som følge deraf er partneren eneansvarlig for korrekt konfiguration af dedikeret instans-tjeneste for slutbrugerens miljø. Dette omfatter, men ikke begrænset til:
-
Valg af sikre/usikre opkald, sikre/usikre protokoller såsom SIP/sSIP, http/https osv. og forståelse af eventuelle tilknyttede risici.
-
For alle MAC-adresser, der ikke er konfigureret som sikker SIP i en dedikeret forekomst, kan en person, der er under behandling, sende SIP-registermeddelelsen ved hjælp af den MAC-adresse og være i stand til at foretage SIP-opkald , hvilket medfører afgiftsbedrageri. Det bedste er, at personerne, der er klar over, kan registrere deres SIP-enhed/software til dedikerede forekomster uden godkendelse, hvis de kender MAC-adressen på en enhed, der er registreret i en dedikeret forekomst.
-
Expressway-E-opkaldspolitikker, omdannelses- og søgeregler bør konfigureres for at forhindre afgiftsbedrageri. For yderligere oplysninger om forhindring af afgiftsbedrageri ved hjælp af Expressways henvises der til afsnittet Sikkerhed for Expressway C og Expressway-E i Collaboration SRND.
-
Konfiguration af opkaldsplaner for at sikre, at brugere kun kan ringe til destinationer, der er tilladte, f.eks. forbyde nationale/internationale opkald, nødopkald dirigeres korrekt osv. For yderligere oplysninger om anvendelse af begrænsninger ved brug af opkaldsplan, se afsnittet Opkaldsplan i Collaboration SRND.
Certifikatkrav til sikre forbindelser i dedikeret forekomst
For dedikerede tilfælde skal Cisco levere domænet og underskrive alle certifikaterne til UC-applikationerne ved hjælp af en offentlig certifikatmyndighed (CA).
Dedikeret forekomst – portnumre og protokoller
Følgende tabeller beskriver de porte og protokoller, der understøttes i dedikeret forekomst. Porte, der bruges til en bestemt kunde, afhænger af kundens installation og løsning. Protokoller afhænger af kundens præference (SCCP versus SIP), eksisterende lokale enheder og hvilket sikkerhedsniveau for at bestemme, hvilke porte der skal bruges i hver installation.
Dedikeret forekomst tillader ikke NAT (Network Address Translation) mellem slutpunkter og Unified CM, da nogle af opkaldsflowfunktionerne ikke fungerer, f.eks. funktionen mellem opkald.
Dedikeret forekomst – Kundeporte
De porte, der er tilgængelige for kunder – mellem kundens lokale og dedikerede tilfælde vises i tabel 1 dedikerede kundeporte . Alle porte angivet herunder er for kundetrafik traversing peering links.
SNMP-port er som standard kun åben for Cisco Emergency Responder for at understøtte dens funktionalitet. Da vi ikke understøtter partnere eller kunder, der overvåger de UC-applikationer, der er installeret i skyen Dedikeret forekomst, tillader vi ikke åbning af SNMP-port for andre UC-applikationer.
Porte i området 5063 til 5080 er reserveret af Cisco til andre cloud-integrationer. Partnere eller kundeadministratorer anbefales ikke at bruge disse porte i deres konfigurationer.
Protocol |
TCP/UDP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
Ssh |
TCP |
klient |
UC-applikationer Ikke tilladt for Cisco Expressway-applikationer. |
Større end 1023 |
22 |
Administration |
Tftp |
UDP |
Slutpunkt |
Unified CM |
Større end 1023 |
69 |
Understøttelse af ældre slutpunkter |
LDAP |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
389 |
Adressebogssynkronisering til kunde LDAP |
HTTPS |
TCP |
Browser |
UC-applikationer |
Større end 1023 |
443 |
Webadgang til selvbetjening og administrative grænseflader |
Udgående mail (SIKKER) |
TCP |
UC-applikation |
CUCxn |
Større end 1023 |
587 |
Bruges til at oprette og sende sikre meddelelser til alle udpegede modtagere |
LDAP (SIKKER) |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
636 |
Adressebogssynkronisering til kunde LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignalering |
H323 |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
1720 |
Opkaldssignalering |
SCCP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2000 |
Opkaldssignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
2000 |
Opkaldssignalering |
mgcp |
UDP |
Gateway |
Gateway |
Større end 1023 |
2427 |
Opkaldssignalering |
MGCP-backhaul |
TCP |
Gateway |
Unified CM |
Større end 1023 |
2428 |
Opkaldssignalering |
SCCP (SIKKER) |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
2443 |
Opkaldssignalering |
SCCP (SIKKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
2443 |
Opkaldssignalering |
Tillidsbekræftelse |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2445 |
Giver tillidsbekræftelsestjeneste til slutpunkter |
Cti |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2748 |
Forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager |
Sikker CTI |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
2749 |
Sikker forbindelse mellem CTI-applikationer (JTAPI/TSP) og CTIManager |
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
3268 |
Adressebogssynkronisering til kunde LDAP |
LDAP globalt katalog |
TCP |
UC-applikationer |
Ekstern mappe |
Større end 1023 |
3269 |
Adressebogssynkronisering til kunde LDAP |
CAPF-tjeneste |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
3804 |
Certifikat Authority Proxy Function (CAPF) lytteport for at udpege lokalt vigtige certifikater (LSC) til IP-telefoner |
SIP |
TCP |
Slutpunkt |
Unified CM, CUCxn |
Større end 1023 |
5060 |
Opkaldssignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
5060 |
Opkaldssignalering |
SIP (SIKKER) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5061 |
Opkaldssignalering |
SIP (SIKKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Større end 1023 |
5061 |
Opkaldssignalering |
SIP (OAUTH) |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
5090 |
Opkaldssignalering |
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Større end 1023 |
5222 |
Chat og tilstedeværelse |
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6970 |
Downloader konfiguration og billeder til slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6971 |
Downloader konfiguration og billeder til slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
6972 |
Downloader konfiguration og billeder til slutpunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7080 |
Voicemail-underretninger |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7443 |
Sikre indtalt besked-underretninger |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7501 |
Bruges af Intercluster Lookup Service (ILS) for certifikatbaseret bekræftelse |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større end 1023 |
7502 |
Bruges af ILS til adgangskodebaseret bekræftelse |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større end 1023 |
7993 |
IMAP over TLS |
HTTP |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
8080 |
KatalogURI til understøttelse af ældre slutpunkter |
HTTPS |
TCP |
Browser, slutpunkt |
UC-applikationer |
Større end 1023 |
8443 |
Webadgang til selvhjælp og administrative grænseflader, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Større end 1023 |
9443 |
Godkendt kontaktsøgning |
HTTP'er |
TCP |
Slutpunkt |
Unified CM |
Større end 1023 |
9444 |
Funktion til administration af hovedtelefoner |
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering) |
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Medie (lyd) - Musik On Hold, Annunciator, Software Conference Bridge (Åben baseret på opkaldssignalering) |
hæmninger |
TCP |
klient |
CUCxn |
Større end 1023 |
20532 |
Sikkerhedskopi og gendan applikationspakke |
ICMP |
ICMP |
Slutpunkt |
UC-applikationer |
ikke relevant |
ikke relevant |
Ping |
ICMP |
ICMP |
UC-applikationer |
Slutpunkt |
ikke relevant |
ikke relevant |
Ping |
DNS | UDP og TCP |
DNS-videresendelse |
DNS-servere for dedikeret forekomst |
Større end 1023 |
53 |
Kunden angiver DNS-videresendere til dedikerede forekomst-DNS-servere. Se DNS-krav for yderligere oplysninger. |
* Visse særlige tilfælde kan benytte et større interval. |
Dedikeret forekomst – OTT-porte
Følgende port kan bruges af kunder og partnere til opsætning af MRA (Mobile and Remote Access):
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
SIKKER RTP/RTCP |
UDP |
Expressway C |
klient |
Større end 1023 |
36000-59999 |
Sikkert medie til MRA- og B2B-opkald |
Interop SIP-trunk mellem multilejer og dedikeret forekomst (kun for registreringsbaseret trunk)
Følgende liste over porte skal tillades på kundens firewall for den registreringsbaserede SIP-trunk, der forbinder multilejer og dedikeret forekomst.
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling-multilejer |
klient |
Større end 1023 |
8000-48198 |
Medier fra Webex Calling-multilejer |
Dedikeret forekomst – UCCX-porte
Følgende liste over porte kan bruges af kunder og partnere til at konfigurere UCCX.
Protocol |
TCP/UCP |
Source |
Destination |
Kildeport |
Destinationsport |
Formål |
---|---|---|---|---|---|---|
Ssh |
TCP |
klient |
UCCX |
Større end 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Større end 1023 |
1504 |
Databaseport til Contact Center Express |
SIP |
UDP og TCP |
SIP GW eller MCRP-server |
UCCX |
Større end 1023 |
5065 |
Kommunikation til eksterne GW- og MCRP-noder |
XMPP |
TCP |
klient |
UCCX |
Større end 1023 |
5223 |
Sikker XMPP-forbindelse mellem Finesse-serveren og brugerdefinerede tredjepartsapplikationer |
Cvd |
TCP |
klient |
UCCX |
Større end 1023 |
6999 |
Redigeringsprogram til CCX-applikationer |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
7443 |
Sikker BOSH-forbindelse mellem Finesse-serveren og agent- og supervisor-desktops til kommunikation via HTTPS |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8080 |
Kunder, der rapporterer live-data, opretter forbindelse til en socket.IO-server |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8081 |
Klientbrowseren forsøger at få adgang til Cisco Unified Intelligence Center-webgrænsefladen |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
8443 |
AdministratorGUI, RTMT, DB-adgang via SOAP |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8444 |
Cisco Unified Intelligence Center-webgrænseflade |
HTTPS |
TCP |
Browser- og REST-klienter |
UCCX |
Større end 1023 |
8445 |
Sikker port til Finesse |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8447 |
HTTPS – Onlinehjælp til Unified Intelligence Center |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
8553 |
Enkeltlogon-komponenter (SSO) får adgang til denne grænseflade for at kende driftsstatussen for Cisco IdS. |
HTTP |
TCP |
klient |
UCCX |
Større end 1023 |
9080 |
Klienter der forsøger at tilgå HTTP-udløsere eller dokumenter/prompter /grammatik/live data. |
HTTPS |
TCP |
klient |
UCCX |
Større end 1023 |
9443 |
Sikker port bruges til at reagere på klienter, der forsøger at få adgang til HTTPS-udløsere |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12014 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
TCP |
TCP |
klient |
UCCX |
Større end 1023 |
12015 |
Dette er porten, hvor livedata-rapporteringsklienter kan oprette forbindelse til socket.IO-serveren |
Cti |
TCP |
klient |
UCCX |
Større end 1023 |
12028 |
CTI-klient fra tredjepart til CCX |
RTP(medie) |
TCP |
Slutpunkt |
UCCX |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
RTP(medie) |
TCP |
klient |
Slutpunkt |
Større end 1023 |
Større end 1023 |
Medieport åbnes dynamisk efter behov |
Klientsikkerhed
Sikre Jabber og Webex med SIP OAuth
Jabber- og Webex-klienter godkendes via et OAuth-token i stedet for et lokalt vigtigt certifikat (LSC), som ikke kræver aktivering af certifikatmyndighedsproxyfunktion (CAPF) (også for MRA). SIP OAuth, der arbejder med eller uden blandet tilstand, blev indført i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi en ny valgmulighed i telefonsikkerhedsprofilen, der aktiverer kryptering uden LSC/CAPF ved hjælp af enkelt Transport Layer Security (TLS) + OAuth-polet i SIP REGISTER. Expressway-C-knudepunkter bruger Administrations-XML Web Service (AXL) API til at informere Cisco Unified CM om SN/SAN i deres certifikat. Cisco Unified CM bruger disse oplysninger til at validere Exp-C-certificeringen, når der oprettes en fælles TLS forbindelse.
SIP OAuth aktiverer medie- og signalkryptering uden et slutpunktscertifikat (LSC).
Cisco Jabber bruger kortvarige porte og sikre porte 6971 og 6972 porte via HTTPS-forbindelse til TFTP-serveren til at downloade konfigurationsfilerne. Port 6970 er en ikke-sikker port til download via HTTP.
Flere oplysninger om SIP OAuth-konfiguration: SIP OA uth-tilstand.
DNS-krav
For dedikeret forekomst leverer Cisco FQDN for tjenesten i hver region med følgende format ..wxc-di.webex.com for eksempel, xyz.amer.wxc-di.webex.com.
"Kunde"-værdien leveres af administratoren som en del af Guide til første opsætning (FTSW). Se Aktivering af dedikeret forekomststjeneste for yderligere oplysninger.
DNS-registre for FQDN skal være løselige fra kundens interne DNS-server for at understøtte lokale enheder, der opretter forbindelse til den dedikerede forekomst. For at lette opløsningen skal kunden konfigurere en betinget videresendelsesudbyder for denne FQDN på deres DNS-server, der peger på dns-tjenesten for dedikeret instans. DNS-tjenesten for dedikeret forekomst er regional og kan nås via peering til dedikeret forekomst ved hjælp af følgende IP-adresser som nævnt i tabellen Dedikeret forekomst IP-adresse for dedikeret forekomst.
Område/DC | Dedikeret DNS-tjeneste-IP-adresse for instans |
Betinget videresendelseseksemne |
---|---|---|
Nord- og Sydamerika (AMER) |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
fra |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
Asien og Stillehavsområdet, Japan og Kina (APJC) |
<customer>.apjc.wxc-di.webex.com |
|
Synd |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Valgmuligheden ping er deaktiveret for ovennævnte DNS-server-IP-adresser af sikkerhedsårsager.
Indtil den betingede videresendelse er på plads, vil enhederne ikke være i stand til at tilmelde til den dedikerede forekomst fra kundens interne netværk via peering-linkene. Betinget videresendelse er ikke påkrævet for tilmelding via Mobil og Remote Access (MRA), da alle nødvendige eksterne DNS-registre for at lette MRA vil være klargjort af Cisco.
Når du bruger Webex-applikationen som din opkalds-soft-klient på en dedikeret instans, skal en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). Se UC Manager-profiler i Cisco Webex Control Hub for yderligere oplysninger. Webex-applikationen vil automatisk kunne løse kundens Expressway Edge uden nogen indgreb fra slutbrugerne.
Stemmetjenestedomæne vil blive leveret til kunden som en del af partneradgangsdokumentet, når tjenesteaktivering er fuldført.
Brug en lokal router til telefonens DNS-opløsning
For telefoner, der ikke har adgang til virksomhedens DNS-servere, er det muligt at bruge en lokal Cisco-router til at videresende DNS-anmodninger til cloud-DNS for dedikeret forekomst. Dette fjerner behovet for at installere en lokal DNS-server og giver fuld DNS-support, herunder cachelagring.
Eksempel på konfiguration :
!
IP DNS-server
IP navneserver
!
DNS-brugen i denne udrulningsmodel er specifik for telefoner og kan kun bruges til at løse FQDN'er med domænet fra kundernes dedikerede forekomst.
Referencer
-
Cisco Collaboration 12.x Solution Reference NetworkKamera (SRND), Emne for sikkerhed: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Sikkerhedsvejledning til Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html