- Startseite
- /
- Artikel
Die Netzwerk- und Sicherheitsanforderungen für die Lösung der dedizierten Instanz sind der vielschichtige Ansatz für die Features und Funktionen, die sicheren physischen Zugriff, Netzwerk, Endpunkte und Cisco UC-Anwendungen bieten. Sie beschreibt die Netzwerkanforderungen und listet die Adressen, Ports und Protokolle auf, die zum Verbinden Ihrer Endpunkte mit den Diensten verwendet werden.
Netzwerkanforderungen für dedizierte Instanz
Die dedizierte Webex Calling-Instanz ist Teil des Cisco Cloud Calling-Portfolios, das von der Collaboration-Technologie von Cisco Unified Communications Manager (Cisco Unified CM) unterstützt wird. Dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP-Telefonen, Mobilgeräten und Desktop-Clients, die eine sichere Verbindung mit der dedizierten Instanz herstellen.
Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxy-Sicherheitsadministratoren, die dedizierte Instanz innerhalb ihrer Organisation verwenden möchten.
Sicherheitsübersicht: Sicherheit in Schichten
Dedizierte Instanz verwendet für die Sicherheit einen mehrschichtigen Ansatz. Die Ebenen umfassen:
-
Physischer Zugriff
-
Netzwerk
-
Endpunkte
-
UC-Anwendungen
In den folgenden Abschnitten werden die Sicherheitsebenen in Bereitstellungen der dedizierten Instanz beschrieben.
Physische Sicherheit
Es ist wichtig, physischen Schutz für Standorte von Equinix Meet-Me-Räumen und Cisco Dedicated Instance Data Center-Einrichtungen zu bieten. Wenn die physische Sicherheit gefährdet ist, können einfache Angriffe wie Dienstunterbrechungen durch das Herunterfahren der Stromversorgung zu den Schaltern eines Kunden initiiert werden. Mit physischem Zugriff könnten Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugang zu Switches erhalten. Physischer Zugriff ermöglicht auch komplexere Angriffe wie Man-in-the-Middle-Angriffe, weshalb die zweite Sicherheitsschicht, die Netzwerksicherheit, entscheidend ist.
Selbstverschlüsselnde Laufwerke werden in Rechenzentren der dedizierten Instanz verwendet, die UC-Anwendungen hosten.
Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation an folgendem Speicherort: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .
Netzwerksicherheit
Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Es liegt in der Verantwortung des Partners, bewährte Vorgehensweisen für die Sicherheit sicherzustellen, z. B.:
-
Separates VLAN für Sprache und Daten
-
Aktivieren Sie Port-Sicherheit, wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, gegen CAM-Tabellenüberflutung
-
IP Source Guard gegen gefälschte IP-Adressen
-
Dynamic ARP Inspection (DAI) untersucht das Adress Resolution Protocol (ARP) und das kostenlose ARP (GARP) bei Verstößen (gegen ARP Spoofing).
-
802.1x beschränkt den Netzwerkzugriff, um Geräte auf zugewiesenen VLANs zu authentifizieren (Telefone unterstützen 802.1x)
-
Konfiguration von Quality of Service (QoS) für entsprechende Markierung von Sprachpaketen
-
Firewall-Port-Konfigurationen zum Blockieren von anderem Datenverkehr
Endpunkte-Sicherheit
Cisco-Endpunkte unterstützen standardmäßige Sicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installiertes Zertifikat (MIC) und signierte Konfigurationsdateien, die ein gewisses Maß an Sicherheit für Endpunkte bieten.
Darüber hinaus kann ein Partner oder Kunde zusätzliche Sicherheit aktivieren, z. B.:
-
IP-Telefondienste (über HTTPS) für Dienste wie Extension Mobility verschlüsseln
-
Vergeben von lokal signifikanten Zertifikaten (LSCs) über die Proxy-Funktion der Zertifizierungsstelle (CAPF) oder eine öffentliche Zertifizierungsstelle (CA)
-
Konfigurationsdateien verschlüsseln
-
Medien und Signalisierung verschlüsseln
-
Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Gratuitous ARP, Webzugriff, Einstellungsschaltfläche, SSH, Konsole
Die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz verhindert Identitätsdiebstahl der Telefone und des Unified CM-Servers, Datenmanipulationen und Manipulationen der Anrufsignalisierung/des Medienstreams.
Dedizierte Instanz über das Netzwerk:
-
Etabliert und verwaltet authentifizierte Kommunikationsströme
-
Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird
-
Verschlüsselt Medienstreams und Anrufsignalisierung zwischen Cisco Unified IP-Telefonen
Die Sicherheit bietet standardmäßig die folgenden automatischen Sicherheitsfunktionen für Cisco Unified IP-Telefone:
-
Signierung der Telefonkonfigurationsdateien
-
Unterstützung für die Verschlüsselung der Telefonkonfigurationsdatei
-
HTTPS mit Tomcat und anderen Webdiensten (MIDlets)
Ab Unified CM Version 8.0 sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) auszuführen.
VertrauensüberprüfungsdienstDa in einem Netzwerk eine große Anzahl von Telefonen vorhanden ist und IP-Telefone nur über begrenzten Speicher verfügen, fungiert Cisco Unified CM als Remote-Vertrauensspeicher über den TVS (Trust Verification Service), sodass kein Vertrauensspeicher für Zertifikate auf jedem Telefon platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentraler Vertrauensspeicher ist einfacher zu verwalten als der Vertrauensspeicher auf jedem Cisco Unified IP-Telefon.
TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Einrichtung zu authentifizieren.
Erste VertrauenslisteDie ITL-Datei (Initial Trust List) wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine Sicherheitsfunktionen, die explizit aktiviert werden müssen. Die ITL-Datei wird automatisch erstellt, wenn der Cluster installiert wird. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP)-Servers wird zum Signieren der ITL-Datei verwendet.
Wenn sich das Cisco Unified CM-Cluster oder der Cisco Unified CM-Server im nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.
Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben ausführen zu können:
-
Sichere Kommunikation mit CAPF – eine Voraussetzung für die Unterstützung der Verschlüsselung der Konfigurationsdatei
-
Authentifizierung der Konfigurationsdateisignatur
-
Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Einrichtung mit TVS authentifizieren
Geräte-, Datei- und Signalisierungsauthentifizierung hängen von der Erstellung der CTL-Datei (Certificate Trust List) ab, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List-Client installiert und konfiguriert.
Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstoken:
-
Systemadministrator-Sicherheitstoken (SAST)
-
Cisco CallManager- und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden
-
CAPF (Certificate Authority Proxy Function)
-
TFTP-Server
-
ASA-Firewall
Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, eine Signatur, den Namen des Aussteller, den Subjektnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.
Die Telefonsicherheit mit CTL bietet folgende Funktionen:
-
Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Gebietsschema, Klingelliste usw.) mit einem Signierungsschlüssel
-
Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signaturschlüssel
-
Verschlüsselte Anrufsignalisierung für IP-Telefone
-
Verschlüsseltes Anrufaudio (Medien) für IP-Telefone
Dedizierte Instanz bietet Endpunkt-Registrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RTP (Real-time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.
Die Aktivierung des gemischten Modus auf Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.
Sichere UC-Anwendungen
Aktivieren des gemischten Modus in dedizierter InstanzDer gemischte Modus ist standardmäßig in der dedizierten Instanz aktiviert.
Das Aktivieren des gemischten Modus in der dedizierten Instanz ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.
In Cisco Unified CM Version 12.5(1) wurde eine neue Option zum Aktivieren der Verschlüsselung von Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL für Jabber- und Webex-Clients hinzugefügt. Daher können in Unified CM-Version 12.5 (1) SIP OAuth und SRTP verwendet werden, um die Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients zu aktivieren. Die Aktivierung des gemischten Modus ist weiterhin für Cisco IP-Telefone und andere Cisco-Endpunkte zu diesem Zeitpunkt erforderlich. Es ist geplant, die Unterstützung für SIP OAuth in 7800/8800-Endpunkten in einer zukünftigen Version hinzuzufügen.
SprachnachrichtensicherheitCisco Unity Connection stellt über den TLS-Port eine Verbindung zu Unified CM her. Wenn der Gerätesicherheitsmodus nicht sicher ist, stellt Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM her.
Um die Sicherheit für Unified CM-Sprachnachrichtenports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, auf denen SCCP ausgeführt wird, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen gegenseitigen Zertifikataustausch authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port auswählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.
Weitere Informationen zu Sicherheits-Sprachnachrichtenports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sicherheit für SRST, Trunks, Gateways, CUBE/SBC
Ein Cisco Unified Survivable Remote Site Telephony (SRST)-fähiges Gateway bietet beschränkte Anrufverarbeitungsaufgaben, wenn Cisco Unified CM in der dedizierten Instanz den Anruf nicht abschließen kann.
Sichere SRST-fähige Gateways enthalten ein selbst signiertes Zertifikat. Nachdem ein Partner SRST-Konfigurationsaufgaben in Unified CM Administration ausgeführt hat, verwendet Unified CM eine TLS-Verbindung, um sich mit dem Certificate Provider-Dienst im SRST-fähigen Gateway zu authentifizieren. Unified CM ruft dann das Zertifikat vom SRST-fähigen Gateway ab und fügt das Zertifikat zur Unified CM-Datenbank hinzu.
Nachdem der Partner die abhängigen Geräte in Unified CM Administration zurückgesetzt hat, fügt der TFTP-Server das Zertifikat des SRST-fähigen Gateways zur Datei cnf.xml des Telefons hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS-Verbindung, um mit dem SRST-fähigen Gateway zu interagieren.
Es wird empfohlen, sichere Übertragungswege für den Anruf von Cisco Unified CM zum Gateway für ausgehende PSTN-Anrufe oder die Durchquerung des Cisco Unified Border Elements (CUBE) zu haben.
SIP-Übertragungswege können sichere Anrufe sowohl für die Signalisierung als auch für Medien unterstützen; TLS bietet die Signalisierungsverschlüsselung und SRTP die Medienverschlüsselung.
Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE
Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte Zertifikate oder CA-signierte Zertifikate verwenden.
Für selbstsignierte Zertifikate:
-
CUBE und Cisco Unified CM generieren selbstsignierte Zertifikate
-
CUBE exportiert Zertifikat nach Cisco Unified CM
-
Cisco Unified CM exportiert Zertifikat nach CUBE
Für CA-signierte Zertifikate:
-
Client generiert ein Schlüsselpaar und sendet eine Zertifikatsanforderung (CSR) an die Zertifizierungsstelle (CA)
-
Die Zertifizierungsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.
-
Der Client installiert die Liste der vertrauenswürdigen CA-Stammzertifikate und Zwischenzertifikate sowie das Identitätszertifikat
Sicherheit für Remote-Endpunkte
Bei MRA-Endpunkten (Mobile and Remote Access) werden Signalisierung und Medien immer zwischen den MRA-Endpunkten und Expressway-Knoten verschlüsselt. Wenn das ICE-Protokoll (Interactive Connectivity Establishment) für MRA-Endpunkte verwendet wird, ist die Signalisierung und Medienverschlüsselung der MRA-Endpunkte erforderlich. Die Verschlüsselung der Signalisierung und Medien zwischen Expressway-C und den internen Unified CM-Servern, internen Endpunkten oder anderen internen Geräten erfordert jedoch einen gemischten Modus oder SIP-OAuth.
Cisco Expressway bietet sichere Firewall-Traversal- und leitungsseitige Unterstützung für Unified CM-Registrierungen. Unified CM bietet Anrufsteuerung für mobile und lokale Endpunkte. Die Signalisierung durchläuft die Expressway-Lösung zwischen dem Remote-Endpunkt und Unified CM. Medien durchlaufen die Expressway-Lösung und werden direkt zwischen Endpunkten weitergeleitet. Alle Medien werden zwischen Expressway-C und dem mobilen Endpunkt verschlüsselt.
Jede MRA-Lösung erfordert Expressway und Unified CM mit MRA-kompatiblen Soft Clients und/oder festen Endpunkten. Die Lösung kann optional den IM- und Presence-Dienst und Unity Connection enthalten.
Protokollzusammenfassung
In der folgenden Tabelle sind die Protokolle und zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.
Protokoll |
Sicherheit |
Dienst |
---|---|---|
SIP |
TLS |
Sitzungseinrichtung: Registrieren, Einladen usw. |
HTTPS |
TLS |
Anmeldung, Bereitstellung/Konfiguration, Verzeichnis, visuelle Voicemail |
Medien |
SRTP |
Medien: Audio, Video, Inhaltsfreigabe |
XMPP |
TLS |
Sofortnachrichten, Präsenz, Vertrauensstellung |
Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsoptionen
Die dedizierte Instanz bietet dem Partner die Flexibilität, die Dienste für Endbenutzer durch die vollständige Kontrolle über Tag-zwei-Konfigurationen anzupassen. Daher ist der Partner allein für die ordnungsgemäße Konfiguration des Dienstes Dedicated Instance für die Umgebung des Endbenutzers verantwortlich. Dazu gehören unter anderem:
-
Wählen Sie sichere/unsichere Anrufe, sichere/unsichere Protokolle wie SIP/sSIP, http/https usw. aus und verstehen Sie alle damit verbundenen Risiken.
-
Für alle MAC-Adressen, die in der dedizierten Instanz nicht als secure-SIP konfiguriert sind, kann ein Angreifer eine SIP-Registrierungsnachricht mit dieser MAC-Adresse senden und SIP-Anrufe tätigen, was zu Gebührenbetrug führt. Voraussetzung ist, dass der Angreifer sein SIP-Gerät/seine SIP-Software ohne Autorisierung bei der dedizierten Instanz registrieren kann, wenn er die MAC-Adresse eines Geräts kennt, das in der dedizierten Instanz registriert ist.
-
Expressway-E-Anrufrichtlinien, Transformations- und Suchregeln sollten konfiguriert werden, um Gebührenbetrug zu verhindern. Weitere Informationen zum Verhindern von Gebührenbetrug mit Expressways finden Sie im Abschnitt „Sicherheit für Expressway C und Expressway-E“ von Collaboration SRND .
-
Konfiguration des Rufnummernplans, um sicherzustellen, dass Benutzer nur Ziele wählen können, die zulässig sind, z. B. das Verbieten nationaler/internationaler Rufnummernwahl, ordnungsgemäße Weiterleitung von Notrufen usw. Weitere Informationen zur Anwendung von Einschränkungen bei der Verwendung des Rufnummernplans finden Sie im Abschnitt Rufnummernplan von Collaboration SRND.
Zertifikatanforderungen für sichere Verbindungen in der dedizierten Instanz
Für die dedizierte Instanz stellt Cisco die Domäne bereit und signiert alle Zertifikate für die UC-Anwendungen mit einer öffentlichen Zertifizierungsstelle (CA).
Dedizierte Instanz – Portnummern und Protokolle
In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die in der dedizierten Instanz unterstützt werden. Ports, die für einen bestimmten Kunden verwendet werden, hängen von der Bereitstellung und Lösung des Kunden ab. Protokolle hängen von der Präferenz des Kunden (SCCP vs. SIP), vorhandenen lokalen Geräten und der Sicherheitsstufe ab, um zu bestimmen, welche Ports in jeder Bereitstellung verwendet werden sollen.
Die dedizierte Instanz lässt keine NAT (Network Address Translation) zwischen Endpunkten und Unified CM zu, da einige der Anruffunktionen nicht funktionieren, z. B. die Anruffunktion während eines Anrufs. |
Dedizierte Instanz – Kundenports
Die für Kunden verfügbaren Ports – zwischen der lokalen und dedizierten Kundeninstanz – sind in Tabelle 1 Kundenports der dedizierten Instanz dargestellt. Alle unten aufgeführten Ports dienen dem Kundenverkehr, der die Peering-Links durchläuft.
Der SNMP-Port ist standardmäßig nur für Cisco Emergency Responder zur Unterstützung seiner Funktionalität geöffnet. Da wir keine Partner oder Kunden unterstützen, die die in der Cloud der dedizierten Instanz bereitgestellten UC-Anwendungen überwachen, lassen wir das Öffnen des SNMP-Ports für andere UC-Anwendungen nicht zu. |
Ports im Bereich 5063 bis 5080 werden von Cisco für andere Cloud-Integrationen reserviert. Partner- oder Kundenadministratoren wird empfohlen, diese Ports nicht in ihren Konfigurationen zu verwenden. |
Protokoll |
TCP/UDP |
Quelle |
Zielort |
Quellport |
Zielport |
Zweck | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UC-Anwendungen
|
Größer als 1023 |
22 |
Administration |
||
TFTP |
UDP |
Endgeräte |
Unified CM |
Größer als 1023 |
69 |
Unterstützung von Legacy-Endpunkten |
||
LDAP |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
389 |
Verzeichnissynchronisierung mit LDAP des Kunden |
||
HTTPS |
TCP |
Browser |
UC-Anwendungen |
Größer als 1023 |
443 |
Webzugriff für Self-Care- und Administrationsoberflächen |
||
Ausgehende E-Mail (SICHER) |
TCP |
UC-Anwendung |
CUCxn |
Größer als 1023 |
587 |
Wird verwendet, um sichere Nachrichten zu erstellen und an bestimmte Empfänger zu senden |
||
LDAP (SICHER) |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
636 |
Verzeichnissynchronisierung mit LDAP des Kunden |
||
H323 |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
||
H323 |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
||
SCCP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2000 |
Anrufsignalisierung |
||
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2000 |
Anrufsignalisierung |
||
MGCP |
UDP |
Gateway |
Gateway |
Größer als 1023 |
2427 |
Anrufsignalisierung |
||
MGCP-Rückwärtsgang |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
2428 |
Anrufsignalisierung |
||
SCCP (SICHER) |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2443 |
Anrufsignalisierung |
||
SCCP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2443 |
Anrufsignalisierung |
||
Vertrauensüberprüfung |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2445 |
Bereitstellung eines Vertrauensüberprüfungsdienstes für Endpunkte |
||
CTI |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2748 |
Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager |
||
Sichere CTI |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2749 |
Sichere Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager |
||
Globaler LDAP-Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3268 |
Verzeichnissynchronisierung mit LDAP des Kunden |
||
Globaler LDAP-Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3269 |
Verzeichnissynchronisierung mit LDAP des Kunden |
||
CAPF-Dienst |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
3804 |
CAPF (Certificate Authority Proxy Function)-Überwachungsport für die Ausgabe von LSC (Locally Significant Certificate) an IP-Telefone |
||
SIP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
5060 |
Anrufsignalisierung |
||
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5060 |
Anrufsignalisierung |
||
SIP (SICHER) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5061 |
Anrufsignalisierung |
||
SIP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5061 |
Anrufsignalisierung |
||
SIP (OAUTH) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5090 |
Anrufsignalisierung |
||
XMPP |
TCP |
Jabber-Client |
Cisco IM&P |
Größer als 1023 |
5222 |
Sofortnachrichten und Präsenz |
||
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6970 |
Konfiguration und Bilder auf Endpunkte herunterladen |
||
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6971 |
Konfiguration und Bilder auf Endpunkte herunterladen |
||
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6972 |
Konfiguration und Bilder auf Endpunkte herunterladen |
||
HTTP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7080 |
Sprachbox-Benachrichtigungen |
||
HTTPS |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7443 |
Sichere Sprachbox-Benachrichtigungen |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7501 |
Wird von Intercluster Lookup Service (ILS) für die zertifikatbasierte Authentifizierung verwendet |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7502 |
Wird von ILS für passwortbasierte Authentifizierung verwendet |
||
IMAP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7993 |
IMAP über TLS |
||
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
8080 |
Verzeichnis-URI für Unterstützung von Legacy-Endpunkten |
||
HTTPS |
TCP |
Browser, Endpunkt |
UC-Anwendungen |
Größer als 1023 |
8443 |
Webzugriff für Self-Care- und Administrationsoberflächen, UDS |
||
HTTPS |
TCP |
Telefonnummer |
Unified CM |
Größer als 1023 |
9443 |
Authentifizierte Kontaktsuche |
||
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
9444 |
Headset-Verwaltungsfunktion |
||
Sicheres RTP/SRTP |
UDP |
Unified CM |
Telefonnummer |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) – Warteschleifenmusik, Verkünder, Software-Konferenzbrücke (basierend auf der Anrufsignalisierung geöffnet) |
||
Sicheres RTP/SRTP |
UDP |
Telefonnummer |
Unified CM |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) – Warteschleifenmusik, Verkünder, Software-Konferenzbrücke (basierend auf der Anrufsignalisierung geöffnet) |
||
KAMPFZEIT |
TCP |
Client |
CUCxn |
Größer als 1023 |
20532 |
Anwendungssuite sichern und wiederherstellen |
||
ICMP |
ICMP |
Endgeräte |
UC-Anwendungen |
k. A. |
k. A. |
Ping |
||
ICMP |
ICMP |
UC-Anwendungen |
Endgeräte |
k. A. |
k. A. |
Ping |
||
DNS | UDP und TCP |
DNS-Weiterleitung |
DNS-Server der dedizierten Instanz |
Größer als 1023 |
53 |
DNS-Weiterleitungen vom Kunden an DNS-Server der dedizierten Instanz. Weitere Informationen finden Sie unter DNS-Anforderungen . |
||
* Bestimmte Sonderfälle können einen größeren Bereich verwenden. |
Dedizierte Instanz – OTT-Ports
Der folgende Port kann von Kunden und Partnern für die Einrichtung von Mobile and Remote Access (MRA) verwendet werden:
Protokoll |
TCP/UCP |
Quelle |
Zielort |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
SICHERES RTP/RTCP |
UDP |
Expressway C |
Client |
Größer als 1023 |
36000&'96;59999 |
Sichere Medien für MRA- und B2B-Anrufe |
Inter-op SIP-Übertragungsweg zwischen Multitenant und dedizierter Instanz (nur für registrierungsbasierten Übertragungsweg)
Die folgende Liste von Ports muss in der Firewall des Kunden für den registrierungsbasierten SIP-Übertragungsweg zwischen dem Multitenant und der dedizierten Instanz zugelassen werden.
Protokoll |
TCP/UCP |
Quelle |
Zielort |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multitenant für Webex Calling |
Client |
Größer als 1023 |
8000-48198 |
Medien von Webex Calling Multitenant |
Dedizierte Instanz – UCCX-Ports
Die folgende Liste von Ports kann von Kunden und Partnern für die Konfiguration von UCCX verwendet werden.
Protokoll |
TCP/UCP |
Quelle |
Zielort |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Größer als 1023 |
22 |
SFTP und SSH |
Informix |
TCP |
Client oder Server |
UCCX |
Größer als 1023 |
1504 |
Contact Center Express-Datenbankport |
SIP |
UDP und TCP |
SIP-GW- oder MCRP-Server |
UCCX |
Größer als 1023 |
5065 |
Kommunikation mit entfernten GW- und MCRP-Knoten |
XMPP |
TCP |
Client |
UCCX |
Größer als 1023 |
5223 |
Sichere XMPP-Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern |
CVD |
TCP |
Client |
UCCX |
Größer als 1023 |
6999 |
Editor für CCX-Anwendungen |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
7443 |
Sichere BOSH-Verbindung zwischen dem Finesse-Server und Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8080 |
Echtzeitdaten-Reporting-Clients verbinden sich mit einem Socket.IO-Server |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8081 |
Client-Browser, der versucht, auf die Cisco Unified Intelligence Center-Weboberfläche zuzugreifen |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8443 |
Admin-GUI, RTMT, DB-Zugriff über SOAP |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8444 |
Cisco Unified Intelligence Center-Weboberfläche |
HTTPS |
TCP |
Browser- und REST-Clients |
UCCX |
Größer als 1023 |
8445 |
Sicherer Port für Finesse |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8447 |
HTTPS – Unified Intelligence Center-Onlinehilfe |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8553 |
Komponenten der einmaligen Anmeldung (Single Sign-On, SSO) greifen auf diese Schnittstelle zu, um den Betriebsstatus von Cisco IdS zu kennen. |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
9080 |
Clients, die auf HTTP-Auslöser oder Dokumente/Aufforderungen/Grammatiken/Live-Daten zugreifen möchten. |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
9443 |
Sicherer Port, der verwendet wird, um auf Clients zu reagieren, die auf HTTPS-Auslöser zugreifen möchten |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12014 |
Dies ist der Port, an dem sich Live-Data Reporting Clients mit dem socket.IO-Server verbinden können. |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12015 |
Dies ist der Port, an dem sich Live-Data Reporting Clients mit dem socket.IO-Server verbinden können. |
CTI |
TCP |
Client |
UCCX |
Größer als 1023 |
12028 |
Drittanbieter-CTI-Client zu CCX |
RTP (Medien) |
TCP |
Endgeräte |
UCCX |
Größer als 1023 |
Größer als 1023 |
Medienport wird bei Bedarf dynamisch geöffnet |
RTP (Medien) |
TCP |
Client |
Endgeräte |
Größer als 1023 |
Größer als 1023 |
Medienport wird bei Bedarf dynamisch geöffnet |
Client-Sicherheit
Sicherheit für Jabber und Webex mit SIP OAuth
Jabber- und Webex-Clients werden über ein OAuth-Token anstelle eines lokal signifikanten Zertifikats (LSC) authentifiziert, für das keine Aktivierung der CAPF-Funktion (Certificate Authority Proxy Function) (auch für MRA) erforderlich ist. SIP OAuth, das mit oder ohne gemischten Modus funktioniert, wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.
In Cisco Unified CM 12.5 haben wir eine neue Option im Telefonsicherheitsprofil, die die Verschlüsselung ohne LSC/CAPF mithilfe von Single Transport Layer Security (TLS) + OAuth-Token in der SIP-REGISTRIERUNG ERMÖGLICHT. Expressway-C-Knoten verwenden die Administrative XML Web Service (AXL) API, um Cisco Unified CM über SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Mutual TLS-Verbindung hergestellt wird.
SIP OAuth aktiviert die Medien- und Signalisierungsverschlüsselung ohne Endpunktzertifikat (LSC).
Cisco Jabber verwendet kurzlebige und sichere Ports 6971 und 6972 über eine HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port zum Herunterladen über HTTP.
Weitere Informationen zur SIP OAuth-Konfiguration: SIP-OAuth-Modus – .
DNS-Anforderungen
Für dedizierte Instanz stellt Cisco den FQDN für den Dienst in jeder Region im folgenden Format bereit <customer>.<region>.wxc-di.webex.com z. B. xyz.amer.wxc-di.webex.com .
Der Kundenwert wird vom Administrator im Rahmen des Ersteinrichtungsassistenten (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Dienstaktivierung der dedizierten Instanz .
DNS-Einträge für diesen FQDN müssen vom internen DNS-Server des Kunden aufgelöst werden können, um lokale Geräte zu unterstützen, die sich mit der dedizierten Instanz verbinden. Um die Lösung zu vereinfachen, muss der Kunde einen Bedingten Forwarder für diesen FQDN auf seinem DNS-Server konfigurieren, der auf den DNS-Dienst der dedizierten Instanz verweist. Der DNS-Dienst der dedizierten Instanz ist regional und kann über das Peering an die dedizierte Instanz unter Verwendung der folgenden IP-Adressen erreicht werden, wie in der folgenden Tabelle der DNS-Dienst-IP-Adresse der dedizierten Instanz erwähnt.
Region/DC | DNS-Dienst-IP-Adresse der dedizierten Instanz |
Beispiel für bedingte Weiterleitung |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
STUMMER |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYMBOL |
178.215.128.228 |
Die Ping-Option ist aus Sicherheitsgründen für die oben genannten IP-Adressen des DNS-Servers deaktiviert. |
Bis die bedingte Weiterleitung eingerichtet ist, können sich Geräte über die Peering-Links nicht über das interne Netzwerk des Kunden bei der dedizierten Instanz registrieren. Eine bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle erforderlichen externen DNS-Datensätze zur Erleichterung von MRA von Cisco vorab bereitgestellt werden.
Wenn Sie die Webex-Anwendung als Calling-Soft-Client in der dedizierten Instanz verwenden, muss in Control Hub ein UC Manager-Profil für die Voice Service Domain (VSD) jeder Region konfiguriert werden. Weitere Informationen finden Sie unter UC Manager-Profile in Cisco Webex Control Hub . Die Webex-Anwendung kann Expressway Edge des Kunden automatisch auflösen, ohne dass ein Endbenutzer eingreift.
Die Sprachdienstdomäne wird dem Kunden als Teil des Partnerzugriffsdokuments zur Verfügung gestellt, sobald die Serviceaktivierung abgeschlossen ist. |
Einen lokalen Router für die DNS-Auflösung des Telefons verwenden
Bei Telefonen, die keinen Zugriff auf die DNS-Server des Unternehmens haben, ist es möglich, einen lokalen Cisco-Router zu verwenden, um DNS-Anfragen an das Cloud-DNS der dedizierten Instanz weiterzuleiten. Dadurch entfällt die Notwendigkeit, einen lokalen DNS-Server bereitzustellen, und es wird vollständige DNS-Unterstützung einschließlich Caching bereitgestellt.
Beispiel Konfiguration :
!
ip dns-server
IP-Name-Server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
Die DNS-Nutzung in diesem Bereitstellungsmodell ist spezifisch für Telefone und kann nur verwendet werden, um FQDN mit der Domäne von der dedizierten Kundeninstanz aufzulösen. |
Referenzen
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Sicherheitsthema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Sicherheitshandbuch für Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html