Dieses Dokument konzentriert sich in erster Linie auf die Netzwerk- und Sicherheitsanforderungen für eine dedizierte Instanzlösung, einschließlich des mehrschichtigen Ansatzes für die Features und Funktionen, die einen sicheren physischen Zugriff, ein sicheres Netzwerk, sichere Endpunkte und sichere Cisco UC -Anwendungen bieten.
Netzwerkanforderungen für dedizierte Instanz
Die dedizierte Webex Calling -Instanz ist Teil des Cisco Cloud Calling-Portfolios, das auf der Collaboration-Technologie von Cisco Unified Communications Manager (Cisco Unified CM) basiert. Die dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP -Telefonen, Mobilgeräten und Desktop-Clients, die eine sichere Verbindung mit der dedizierten Instanz herstellen.
Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxy-Sicherheitsadministratoren, die dedizierte Instanzen in ihrer Organisation verwenden möchten.
Übersicht über die Sicherheit: Sicherheit in mehreren Ebenen
Dedizierte Instanz verwendet einen mehrstufigen Ansatz für die Sicherheit. Die Ebenen umfassen:
Physischer Zugriff
Netzwerk
Endpunkte
UC-Anwendungen
In den folgenden Abschnitten werden die Sicherheitsebenen in Dedizierte Instanz Bereitstellungen.
Physische Sicherheit
Es ist wichtig, die Standorte von Equinix Meet-Me-Raum und Cisco . physisch zu schützen Dedizierte Instanz Rechenzentrumseinrichtungen. Wenn die physische Sicherheit gefährdet ist, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Switches eines Kunden initiiert werden. Mit dem physischen Zugriff könnten Angreifer Zugang zu Servergeräten erhalten, Passwörter zurücksetzen und Zugang zu Switches erhalten. Der physische Zugriff ermöglicht auch raffiniertere Angriffe wie Man-in-the-Middle-Angriffe, weshalb die zweite Sicherheitsebene, die Netzwerksicherheit, von entscheidender Bedeutung ist.
Selbstverschlüsselnde Laufwerke werden verwendet in Dedizierte Instanz Rechenzentren, die UC-Anwendungen Gastgeber .
Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation an der folgenden Stelle: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netzwerksicherheit
Partner müssen sicherstellen, dass alle Netzwerkelemente geschützt sind Dedizierte Instanz Infrastruktur (die über Equinix verbunden ist). Es liegt in der Verantwortung des Partners, bewährte Verfahren Sicherheitspraktiken zu gewährleisten, wie z. B.:
Separates VLAN für Sprache und Daten
Aktivieren Sie die Port-Sicherheit, um die Anzahl der pro Port zulässigen MAC -Adressen zu beschränken, um eine Überlastung der CAP-Tabellen zu verhindern
IP Source Guard gegen gefälschte IP -Adressen
Dynamische ARP-Inspektion (DAI) untersucht Address Resolution Protocol (ARP) und Gratuitous ARP (GARP) auf Verstöße (gegen ARP-Spoofing)
802.1x schränkt den Netzwerkzugriff ein, um Geräte in zugewiesenen VLANs zu authentifizieren (Telefone unterstützen 802.1x )
Konfiguration der Servicequalität (QoS) für die entsprechende Markierung von Sprachpaketen
Konfiguration der Firewall-Ports zum Ausblenden jeglichen anderen Datenverkehrs
Endpunktsicherheit
Cisco Endpunkte unterstützen standardmäßige Sicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installiertes Zertifikat (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Maß an Sicherheit für Endpunkte bieten.
Darüber hinaus kann ein Partner oder Kunde zusätzliche Sicherheit aktivieren, wie z. B.:
Verschlüsseln von IP-Telefon (über HTTPS) für Dienste wie Extension Mobility
Stellen Sie LSCs (Locally Significant Certificate) über die CAPF (Certificate Authority Proxy Function) (CAPF) oder eine öffentliche Zertifizierungsstelle (CA) aus.
Konfigurationsdateien verschlüsseln
Medien und Signale verschlüsseln
Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC -Sprach- VLAN -Zugriff, Gratuitous ARP, Webzugriff, Schaltfläche „Einstellungen“, SSH, Konsole
Implementierung von Sicherheitsmechanismen im Dedizierte Instanz Verhindert Identitätsdiebstahl der Telefone und des Unified CM-Server, Datenmanipulationen und Manipulationen der Anrufsignalisierung/Medien-Streams.
Dedizierte Instanz über das Netzwerk:
Erstellt und verwaltet authentifizierte Kommunikationsströme
Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird
Verschlüsselt Medienstreams und Anrufsignale zwischen Cisco Unified IP -Telefonen
Sicherheit standardmäßig bietet die folgenden automatischen Sicherheitsfunktionen für Cisco Unified IP -Telefone:
Signierung der Telefonkonfiguration
Unterstützung für die Verschlüsselung der Telefonkonfiguration
HTTPS mit Tomcat und anderen Webdiensten (MIDlets)
Für Unified CM Version 8.0 werden diese Sicherheitsfunktionen standardmäßig bereitgestellt, ohne dass der CTL-Client (Certificate Trust List) ausgeführt wird.
Da in einem Netzwerk eine große Anzahl von Telefonen vorhanden ist und IP -Telefone nur über einen begrenzten Speicher verfügen, fungiert Cisco Unified CM über den Trust Verification Service (TVS) als Remote-Truststore, sodass nicht auf jedem Telefon ein Zertifikat-Truststore erstellt werden muss. Die Cisco IP -Telefone kontaktieren den TVS -Server zur Verifizierung, da sie eine Signatur oder ein Zertifikat über CTL oder ITL-Dateien nicht verifizieren können. Die Verwaltung eines zentralen Vertrauensspeichers ist einfacher als die Einrichtung eines Vertrauensspeichers auf jedem Cisco Unified IP-Telefon.
TVS ermöglicht Cisco Unified IP -Telefonen die Authentifizierung von Anwendungsservern, z. B. EM -Dienste, Verzeichnisse und MIDlet, während der HTTPS-Einrichtung.
Die Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. Für ITL müssen keine Sicherheitsfunktionen explizit aktiviert werden. Die ITL-Datei wird automatisch erstellt, wenn der Cluster installiert wird. Der private Schlüssel des TFTP -Servers ( Unified CM Trivial File Transfer Protocol) wird zum Signieren der ITL-Datei verwendet.
Wenn sich der Cisco Unified CM -Cluster oder -Server im nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.
Cisco IP -Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:
Sichere Kommunikation mit CAPF, eine Voraussetzung für die Unterstützung der Verschlüsselung der Konfigurationsdatei
Signatur der Konfigurationsdatei authentifizieren
Authentifizieren von Anwendungsservern wie EM -Diensten, Verzeichnissen und MIDlet während der HTTPS-Einrichtung mit TVS
Die Geräte-, Datei- und Signalauthentifizierung basiert auf der Erstellung der CTL-Datei (Certificate Trust List), die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List-Client installiert und konfiguriert.
Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstoken:
Systemadministrator-Sicherheits-Token (SAST)
Cisco CallManager und Cisco TFTP -Dienste, die auf demselben Server ausgeführt werden
Certificate Authority Proxy-Funktion (CAPF)
TFTP -Server
ASA-Firewall
Die CTL-Datei enthält ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, eine Signatur, einen Ausstellernamen, einen Antragstellernamen, eine Serverfunktion, einen DNS -Namen und eine IP-Adresse für jeden Server.
Die Telefonsicherheit mit CTL bietet folgende Funktionen:
Authentifizierung von heruntergeladenen TFTP -Dateien (Konfiguration, Sprache, Klingelliste usw.) mithilfe eines Signaturschlüssels
Verschlüsselung von TFTP Konfigurationsdateien mit einem Signaturschlüssel
Verschlüsselte Anrufsignalisierung für IP -Telefone
Verschlüsseltes Anrufaudio (Medien) für IP -Telefone
Dedizierte Instanz bietet Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf SCCP (Secure Skinny Client Control Protocol ) oder Session Initiation Protocol (SIP) und kann mit TLS ( Transport Layer Security ) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RTP(Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.
Wenn Sie den gemischten Modus in Unified CM aktivieren, wird die Verschlüsselung des Signal- und Mediendatenverkehr von und zu den Cisco -Endpunkten aktiviert.
Sichere UC-Anwendungen
Der gemischte Modus ist standardmäßig aktiviert in Dedizierte Instanz .
Aktivieren des gemischten Modus in Dedizierte Instanz ermöglicht die Verschlüsselung des Signal- und Mediendatenverkehr von und zu den Cisco -Endpunkten.
In Cisco Unified CM Version 12.5(1) wurde eine neue Option für Jabber- und Webex -Clients hinzugefügt, um die Verschlüsselung von Signalen und Medien basierend auf SIP OAuth anstelle von gemischtem Modus/ CTL zu aktivieren. Daher können in der Unified CM -Version 12.5(1) SIP OAuth und SRTP verwendet werden, um die Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex -Clients zu aktivieren. Die Aktivierung des gemischten Modus für Cisco IP -Telefone und andere Cisco -Endpunkte ist zu diesem Zeitpunkt weiterhin erforderlich. Es gibt einen Plan, die Unterstützung für SIP OAuth in 7800/8800-Endpunkten in einer zukünftigen Version hinzuzufügen.
Cisco Unity Connection stellt über den TLS Port eine Verbindung mit Unified CM her. Wenn der Gerätesicherheitsmodus nicht „sicher“ ist, stellt Cisco Unity Connection über den SCCP -Port eine Verbindung mit Unified CM her.
Um die Sicherheit für Unified CM -Voicemail-Ports und Cisco Unity -Geräte, auf denen SCCP ausgeführt wird, oder Cisco Unity Connection -Geräte, auf denen SCCP ausgeführt wird, zu konfigurieren, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Sprachspeicher-Port auswählen, wird eine TLS -Verbindung geöffnet, die die Geräte über einen gegenseitigen Zertifikatsaustausch authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Sprachspeicher-Port auswählen, authentifiziert das System zuerst die Geräte und sendet dann verschlüsselte Voicestreams zwischen den Geräten.
Weitere Informationen zu Sicherheit Ports für Sprachnachrichten finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sicherheit für SRST, Übertragungswege, Gateways, CUBE/SBC
Ein für Cisco Unified Survivable Remote Site Telephony (SRST) aktiviertes Gateway bietet eingeschränkte Anrufverarbeitungsaufgaben, wenn Cisco Unified CM an Dedizierte Instanz kann den Anruf nicht abschließen.
Secure SRST-fähige Gateways enthalten ein selbstsigniertes Zertifikat. Nachdem ein Partner SRST Konfigurationsaufgaben in Unified CM Administration ausgeführt hat, verwendet Unified CM eine TLS -Verbindung, um sich beim Zertifikatsanbieterdienst im SRST-kompatibles Gateway zu authentifizieren. Unified CM ruft dann das Zertifikat vom SRST-kompatibles Gateway ab und fügt das Zertifikat zur Unified CM - Datenbank hinzu.
Nachdem der Partner die abhängigen Geräte in Unified CM Administration zurückgesetzt hat, fügt der TFTP -Server das SRST-kompatibles Gateway Zertifikat zur Datei cnf.xml hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS -Verbindung, um mit dem SRST-kompatibles Gateway zu interagieren.
Es wird empfohlen, sichere Übertragungswege für den Anruf zu verwenden, der von Cisco Unified CM zum Gateway für ausgehende PSTN-Anrufe stammt oder das Cisco Unified Border Element (CUBE) durchquert.
SIP -Übertragungswege können sichere Anrufe sowohl für die Signalisierung als auch für die Medien unterstützen. TLS bietet Signalverschlüsselung und SRTP bietet Medienverschlüsselung.
Sichern der Kommunikation zwischen Cisco Unified CM und CUBE
Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte Zertifikate oder CA-signierte Zertifikate verwenden.
Für selbstsignierte Zertifikate:
CUBE und Cisco Unified CM generieren selbstsignierte Zertifikate
CUBE exportiert das Zertifikat in Cisco Unified CM
Cisco Unified CM exportiert Zertifikat in CUBE
Für CA-signierte Zertifikate:
Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Certificate Authority (CA)
Die CA signiert es mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat
Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Zwischenzertifikate sowie das Identitätszertifikat
Sicherheit für Remote-Endpunkte
Bei MRA-Endpunkten (Mobile and Remote Access ) sind die Signalisierung und Medien zwischen den MRA-Endpunkten und den Expressway-Knoten immer verschlüsselt. Wenn das Interactive Connectivity Establishment (ICE)-Protokoll für MRA-Endpunkte verwendet wird, ist die Signalisierung und Medienverschlüsselung der MRA-Endpunkte erforderlich. Die Verschlüsselung der Signalisierung und der Medien zwischen Expressway-C und den internen Unified CM -Servern, internen Endpunkten oder anderen internen Geräten erfordert jedoch den gemischten Modus oder SIP -OAuth.
Cisco Expressway bietet sichere Firewall-Traversal- und leitungsseitige Unterstützung für Unified CM -Registrierungen. Unified CM bietet Anrufsteuerung für mobile und lokale Endpunkte. Die Signalisierung durchläuft die Expressway-Lösung zwischen dem Remoteendpunkt und Unified CM. Medien durchlaufen die Expressway-Lösung und werden direkt zwischen den Endpunkten weitergeleitet. Alle Medien zwischen Expressway-C und dem mobilen Endpunkt sind verschlüsselt.
Jede MRA-Lösung erfordert Expressway und Unified CM mit MRA-kompatiblen Soft-Clients und/oder festen Endpunkten. Die Lösung kann optional den IM und Präsenzservice und Unity Connection umfassen.
Protokollübersicht
In der folgenden Tabelle sind die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM -Lösung verwendet werden.
Protokoll |
Sicherheit |
Dienst |
|---|---|---|
SIP |
TLS |
Sitzungsaufbau: Registrieren, einladen usw. |
HTTPS |
TLS |
Anmeldung, Bereitstellung/Konfiguration, Verzeichnis, visuelle Voicemail |
Medien |
SRTP |
Medien: Audio, Video, Inhaltsfreigabe |
XMPP |
TLS |
Instant Nachrichten, Präsenz, Verbund |
Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsoptionen
Das Dedizierte Instanz bietet dem Partner die Flexibilität, Dienste für Endbenutzer durch volle Kontrolle über die Konfigurationen am zweiten Tag anzupassen. Daher ist allein der Partner für die ordnungsgemäße Konfiguration von Dedizierte Instanz für die Umgebung des Endbenutzers. Dies umfasst, ist aber nicht beschränkt auf:
Wählen Sie sichere/unsichere Anrufe, sichere/unsichere Protokolle wie SIP/sSIP, HTTP/https usw. aus und verstehen Sie die damit verbundenen Risiken.
Für alle MAC -Adressen, die nicht als sicher konfiguriert sind: SIP in Dedizierte Instanz kann ein Angreifer SIP -Registrierungsnachrichten unter Verwendung dieser MAC-Adresse senden und SIP -Anrufe tätigen, was zu Gebührenbetrug führt. Voraussetzung ist, dass der Angreifer sein SIP-Gerät bzw. seine SIP-Software registrieren kann bei Dedizierte Instanz ohne Autorisierung, wenn sie die MAC-Adresse eines Geräts kennen, das in Dedizierte Instanz .
Anrufrichtlinien, Transformations- und Suchregeln von Expressway-E sollten so konfiguriert werden, dass Gebührenbetrug verhindert wird. Weitere Informationen zur Verhinderung von Gebührenbetrug mit Expressways finden Sie im Abschnitt Sicherheit für Expressway C und Expressway-E des Zusammenarbeits-SRND .
Konfiguration des Rufnummernplans, um sicherzustellen, dass Benutzer nur zulässige Ziele anwählen können, z. B. nationale/internationale Rufnummernwahl, Notrufe werden ordnungsgemäß weitergeleitet usw. Weitere Informationen zum Anwenden von Einschränkungen bei der Verwendung des Wählplans finden Sie unter Wählplan unter Collaboration SRND.
Zertifikatanforderungen für sichere Verbindungen in einer dedizierten Instanz
Für dedizierte Instanzen stellt Cisco die Domäne bereit und signiert alle Zertifikate für die UC-Anwendungen mit einer öffentlichen Certificate Authority (CA).
Dedizierte Instanz – Portnummern und Protokolle
In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die in der dedizierten Instanz unterstützt werden. Die für einen bestimmten Kunden verwendeten Ports hängen von der Bereitstellung und Lösung des Kunden ab. Die Protokolle hängen von der Präferenz des Kunden (SCCP vs. SIP), den vorhandenen lokalen Geräten und der Sicherheitsstufe ab, um zu bestimmen, welche Ports in jeder Bereitstellung verwendet werden sollen.
 |
Die dedizierte Instanz lässt keine NAT (Network Address Translation) zwischen Endpunkten und Unified CM zu, da einige der Anrufflussfunktionen nicht funktionieren, z. B. Gesprächsleistungsmerkmal. |
Dedizierte Instanz – Kundenports
Die für Kunden verfügbaren Ports zwischen der lokalen Kundeninstanz und der dedizierten Instanz sind in Tabelle 1 aufgeführt Kundenports der dedizierten Instanz . Alle unten aufgeführten Ports sind für den Kundendatenverkehr vorgesehen, der die Peering-Links durchläuft.
|
Der SNMP -Port wird nur für die CER-Funktionalität und nicht für andere Überwachungstools von Drittanbietern unterstützt. |
 |
Ports im Bereich von 5063 bis 5080 werden von Cisco für andere Cloud-Integrationen reserviert. Partner- oder Kundenadministratoren wird empfohlen, diese Ports in ihren Konfigurationen nicht zu verwenden. |
Protokoll |
TCP/UDP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UC-Anwendungen |
Größer als 1023 |
22 |
Administration |
TFTP |
UDP |
Endgeräte |
Unified CM |
Größer als 1023 |
69 |
Unterstützung älterer Endpunkte |
LDAP |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
389 |
Verzeichnissynchronisierung mit Kunden LDAP |
HTTPS |
TCP |
Browser |
UC-Anwendungen |
Größer als 1023 |
443 |
Webzugriff für Self-Service und administrative Schnittstellen |
Ausgehende E-Mail (SICHER) |
TCP |
UC-Anwendung |
CUCxn |
Größer als 1023 |
587 |
Wird verwendet, um sichere Nachrichten zu erstellen und an bestimmte Empfänger zu senden |
LDAP (SICHER) |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
636 |
Verzeichnissynchronisierung mit Kunden LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
H323 |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
SCCP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2000 |
Anrufsignalisierung |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2000 |
Anrufsignalisierung |
MGCP |
UDP |
Gateway |
Gateway |
Größer als 1023 |
2427 |
Anrufsignalisierung |
MGCP Blackhay |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
2428 |
Anrufsignalisierung |
SCCP (SICHER) |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2443 |
Anrufsignalisierung |
SCCP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2443 |
Anrufsignalisierung |
Vertrauensüberprüfung |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2445 |
Bereitstellung eines Dienstes zur Vertrauensüberprüfung für Endpunkte |
CTI |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2748 |
Verbindung zwischen CTI -Anwendungen (JTAPI/TSP) und CTIManager |
Sichere CTI |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2749 |
Sichere Verbindung zwischen CTI -Anwendungen (JTAPI/TSP) und CTIManager |
Globaler LDAP -Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3268 |
Verzeichnissynchronisierung mit Kunden LDAP |
Globaler LDAP -Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3269 |
Verzeichnissynchronisierung mit Kunden LDAP |
CAPF -Dienst |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
3804 |
CAPF ( Certificate Authority Proxy Function) Überwachungsport für die Ausgabe von Locally Significant Certificates ( LSC) für IP -Telefone |
SIP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
5060 |
Anrufsignalisierung |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5060 |
Anrufsignalisierung |
SIP (SICHER) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5061 |
Anrufsignalisierung |
SIP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5061 |
Anrufsignalisierung |
SIP (OAUTH) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5090 |
Anrufsignalisierung |
XMPP |
TCP |
Jabber-Client |
Cisco IM&P |
Größer als 1023 |
5222 |
Instant Nachrichten und Presence |
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6970 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6971 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6972 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7080 |
Voicemail-Benachrichtigungen |
HTTPS |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7443 |
Sichere Voicemail-Benachrichtigungen |
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7501 |
Wird vom Intercluster Lookup Service (ILS) für die zertifikatbasierte Authentifizierung verwendet |
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7502 |
Wird von ILS für die kennwortbasierte Authentifizierung verwendet |
IMAP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7993 |
IMAP über TLS |
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
8080 |
Verzeichnis- URI für Unterstützung älterer Endpunkte |
HTTPS |
TCP |
Browser, Endpunkt |
UC-Anwendungen |
Größer als 1023 |
8443 |
Webzugriff für Self-Service und administrative Schnittstellen, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Größer als 1023 |
9443 |
Authentifizierte Kontaktsuche |
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
9444 |
Headset-Verwaltungsfunktion |
Sicheres RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) - Warteschleifenmusik, Ansagegerät, Software-Konferenz-Bridge (geöffnet basierend auf Anrufsignalisierung) |
Sicheres RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) - Warteschleifenmusik, Ansagegerät, Software-Konferenz-Bridge (geöffnet basierend auf Anrufsignalisierung) |
COBRAS |
TCP |
Client |
CUCxn |
Größer als 1023 |
20532 |
Backup and Restore Application Suite |
ICMP |
ICMP |
Endgeräte |
UC-Anwendungen |
n / a |
n / a |
Ping |
ICMP |
ICMP |
UC-Anwendungen |
Endgeräte |
n / a |
n / a |
Ping |
* In bestimmten Sonderfällen wird möglicherweise ein größerer Bereich verwendet. |
||||||
Dedizierte Instanz – OTT-Ports
Der folgende Port kann von Kunden und Partnern für die Einrichtung von Mobil- und Remote Access (MRA) verwendet werden:
Protokoll |
TCP/UCP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
|---|---|---|---|---|---|---|
SICHERE RTP/ RTCP |
UDP |
Expressway C |
Client |
Größer als 1023 |
36000-59999 |
Sichere Medien für MRA- und B2B-Anrufe |
Dedizierte Instanz – UCCX-Ports
Die folgende Liste von Ports kann von Kunden und Partnern zum Konfigurieren von UCCX verwendet werden.
Protokoll |
TCP /UCP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Größer als 1023 |
22 |
SFTP und SSH |
Informix |
TCP |
Client oder Server |
UCCX |
Größer als 1023 |
1504 |
Port der Unified CCX Datenbank |
SIP |
UDP und TCP |
SIP -GW- oder MCRP-Server |
UCCX |
Größer als 1023 |
5065 |
Kommunikation mit Remote-GW- und MCRP-Knoten |
XMPP |
TCP |
Client |
UCCX |
Größer als 1023 |
5223 |
Sichere XMPP -Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern |
CVD |
TCP |
Client |
UCCX |
Größer als 1023 |
6999 |
Editor zu CCX-Anwendungen |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
7443 |
Sichere BOSH-Verbindung zwischen dem Finesse-Server und den Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8080 |
Echtzeitdaten-Berichtsclients stellen eine Verbindung mit dem Socket.IO-Server her |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8081 |
Clientbrowser versucht, auf die Cisco Unified Intelligence Center Weboberfläche zuzugreifen |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8443 |
Admin- GUI, RTCP, DB-Zugriff über SOAP |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8444 |
Cisco Unified Intelligence Center Weboberfläche |
HTTPS |
TCP |
Browser- und REST-Clients |
UCCX |
Größer als 1023 |
8445 |
Sichere Portierung für Finesse |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8447 |
HTTPS – Onlinehilfe für Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8553 |
SSO-Komponenten (Single Sign-On) greifen auf diese Schnittstelle zu, um den Betriebsstatus von Cisco IdS zu ermitteln. |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
9080 |
Clients, die versuchen, auf HTTP-Auslöser oder Dokumente/Aufforderungen/Grammatiken/ Echtzeitdaten zuzugreifen. |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
9443 |
Sicherer Port, der verwendet wird, um auf Clients zu antworten, die versuchen, auf HTTPS-Auslöser zuzugreifen |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12014 |
Dies ist der Port, über den sich Clients für die Echtzeitberichterstellung mit dem Socket.IO-Server verbinden können |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12015 |
Dies ist der Port, über den sich Clients für die Echtzeitberichterstellung mit dem Socket.IO-Server verbinden können |
CTI |
TCP |
Client |
UCCX |
Größer als 1023 |
12028 |
CTI -Client eines Drittanbieters zu CCX |
RTP(Medien) |
TCP |
Endgeräte |
UCCX |
Größer als 1023 |
Größer als 1023 |
Medienport wird bei Bedarf dynamisch geöffnet |
RTP(Medien) |
TCP |
Client |
Endgeräte |
Größer als 1023 |
Größer als 1023 |
Medienport wird bei Bedarf dynamisch geöffnet |
Client-Sicherheit
Sicherung von Jabber und Webex mit SIP OAuth
Jabber- und Webex -Clients werden über ein OAuth-Token anstelle eines Locally Significant Certificate (LSC) authentifiziert, das keine Aktivierung der CAPF (Certificate Authority Proxy Function) (CAPF) erfordert (auch für MRA). SIP OAuth, das mit oder ohne gemischten Modus funktioniert, wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.
In Cisco Unified CM 12.5 gibt es eine neue Option im Telefonsicherheitsprofil, die eine Verschlüsselung ohne LSC/ CAPF mit einem einzelnen Transport Layer Security (TLS) + OAuth-Token im SIP REGISTER ermöglicht. Expressway-C-Knoten verwenden die Administrative XML Web Service (AXL) API , um Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat beim Einrichten einer Mutual TLS -Verbindung zu validieren.
SIP OAuth ermöglicht die Verschlüsselung von Medien und Signalen ohne Endpunktzertifikat (LSC).
Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über eine HTTPS-Verbindung zum TFTP -Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für Downloads über HTTP.
Weitere Details zur SIP -OAuth-Konfiguration: SIP -OAuth-Modus .
DNS -Anforderungen
Für dedizierte Instanzen stellt Cisco den FQDN für den Dienst in jeder Region im folgenden Format bereit:<customer> .<region> .wxc-di.webex.com zum Beispiel xyz.amer.wxc-di.webex.com .
Der Wert „customer“ wird vom Administrator im Rahmen des Ersteinrichtungsassistent (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Dienstaktivierung der dedizierten Instanz .
DNS -Einträge für diesen FQDN müssen vom internen DNS-Server des Kunden auflösbar sein, um lokale Geräte zu unterstützen, die sich mit der dedizierten Instanz verbinden. Um die Auflösung zu erleichtern, muss der Kunde eine bedingte Weiterleitung für diesen FQDN auf dem DNS-Server konfigurieren, der auf den DNS -Dienst der dedizierten Instanz verweist. Der DNS -Dienst der dedizierten Instanz ist regional und kann über das Peering zur dedizierten Instanz unter Verwendung der folgenden IP -Adressen (siehe Tabelle unten) erreicht werden: Dedizierte DNS -Dienst- IP -Adresse der Instanz .
Region/DC |
Dedizierte DNS -Dienst- IP -Adresse der Instanz | Beispiel für bedingte Rufumleitung |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LANG |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
Die Ping-Option ist für die oben genannten DNS-Server IP -Adressen aus Sicherheitsgründen deaktiviert. |
Bis die bedingte Weiterleitung eingerichtet ist, können sich Geräte nicht vom internen Netzwerk des Kunden über die Peering-Links bei der dedizierten Instanz registrieren. Die bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle erforderlichen externen DNS -Einträge zur Erleichterung von MRA von Cisco vorab bereitgestellt werden.
Wenn Sie die Webex -Anwendung als Calling-Soft-Client auf einer dedizierten Instanz verwenden, muss in Control Hub für die Sprachdienstdomäne (VSD) jeder Region ein UC Manager-Profil konfiguriert werden. Weitere Informationen finden Sie unter UC Manager-Profile in Cisco Webex Control Hub . Die Webex -Anwendung kann den Expressway Edge des Kunden automatisch ohne Eingriff des Benutzer auflösen.
|
Die Sprachdienstdomäne wird dem Kunden im Rahmen des Partnerzugangsdokuments zur Verfügung gestellt, sobald die Serviceaktivierung abgeschlossen ist. |
Referenzen
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Thema Sicherheit: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sicherheitshandbuch für Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
