- Startseite
- /
- Artikel
Netzwerk- und Sicherheitsanforderungen dedizierte Instanz
Die Netzwerk- und Sicherheitsanforderungen für die Lösung „Dedicated Instance“ stellen einen mehrschichtigen Ansatz für die Funktionen dar, die einen sicheren physischen Zugriff, Netzwerk, Endpunkte und Cisco UC-Anwendungen ermöglichen. Sie beschreibt die Netzwerkanforderungen und listet die Adressen, Ports und Protokolle auf, die zum Verbinden Ihrer Endpunkte mit den Diensten verwendet werden.
Netzwerkanforderungen für dedizierte Instanz
Webex Calling Dedizierte Instanz ist Teil des Cisco Cloud Calling-Portfolio, das durch die Cisco Unified Communications Manager(CUCM) (Cisco Unified CM) Zusammenarbeitstechnologie unterstützt wird. Dedizierte Instanz bietet Sprach-, Video-, Messaging- und Mobilitätslösungen mit den Funktionen und Vorteilen von Cisco IP-Telefonen, Mobilgeräten und Desktop-Clients, die sich sicher mit der dedizierten Instanz verbinden.
Dieser Artikel richtet sich an Netzwerkadministratoren, insbesondere Firewall- und Proxysicherheitsadministratoren, die die dedizierte Instanz in ihrer Organisation verwenden möchten.
Sicherheitsübersicht: Sicherheit in Ebenen
Dedizierte Instanz verwendet einen ebenen Sicherheitsansatz. Die Ebenen umfassen:
-
Physischer Zugriff
-
Netzwerk
-
Endpunkte
-
UC-Anwendungen
In den folgenden Abschnitten wird die Sicherheitsschicht in Bereitstellungen dedizierter Instanzen beschrieben.
Physische Sicherheit
Es ist wichtig, die physische Sicherheit für die Standorte der Equinix Meet-Me-Room und die Cisco Dedicated Instance Data Center-Einrichtungen zu gewährleisten. Wenn die physische Sicherheit in Frage kommt, können einfache Angriffe wie Dienstunterbrechungen durch Herunterfahren der Stromversorgung für die Kunden-Switches ausgelöst werden. Mit physischem Zugriff können Angreifer Zugriff auf Servergeräte erhalten, Passwörter zurücksetzen und Zugriff auf Switches erlangen. Der physische Zugriff ermöglicht auch komplexere Angriffen wie Man-in-the-Middle-Angriffen. Deshalb ist die zweite Sicherheitsschicht, die Netzwerksicherheit, von entscheidender Bedeutung.
Selbstverschlüsselungslaufwerke werden in Rechenzentren dedizierter Instanzen verwendet, die UC-Anwendungen hosten.
Weitere Informationen zu allgemeinen Sicherheitspraktiken finden Sie in der Dokumentation unter https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netzwerksicherheit
Partner müssen sicherstellen, dass alle Netzwerkelemente in der Infrastruktur der dedizierten Instanz (die über Equinix verbunden wird) gesichert sind. Die Verantwortung des Partners liegt in der Verantwortung, die best Practices für die Sicherheit zu gewährleisten, wie z. B.:
-
VLAN für Sprache und Daten trennen
-
Aktivieren Sie port security (Portsicherheit), wodurch die Anzahl der pro Port zulässigen MAC-Adressen begrenzt wird, ohne dass die CAM-Tabelle umfinget.
-
IP-Quell-Schutz vor spoofen IP-Adressen
-
Dynamic ARP Inspection (DAI) prüft das Address Resolution Protocol (ARP) und den verwendenden ARP (GARP) auf Verstöße (gegen ARP-Spoofing)
-
802. beschränkt1x den Netzwerkzugriff auf die Authentifizierung von Geräten auf zugewiesenen VLANs (Telefone unterstützen 802.1x)
-
Konfiguration der Dienstqualität (QoS) für die entsprechende Markierung von Sprachpaketen
-
Firewall-Portkonfigurationen zum Blockieren von anderem Datenverkehr
Sicherheit der Endpunkte
Cisco-Endpunkte unterstützen Standardsicherheitsfunktionen wie signierte Firmware, Secure Boot (ausgewählte Modelle), vom Hersteller installierte Zertifikate (MIC) und signierte Konfigurationsdateien, die ein bestimmtes Sicherheitsniveau für Endpunkte bieten.
Zusätzlich kann ein Partner oder Kunde zusätzliche Sicherheitsmaßnahmen aktivieren, wie z. B.:
-
Verschlüsseln von IP-Telefondiensten (über HTTPS) für Dienste wie Extension Mobility
-
Ausgabe von lokal wichtigen Zertifikaten (LSCs) von der Proxyfunktion der Zertifizierungsstelle (CAPF) oder einer öffentlichen Zertifizierungsstelle (CA)
-
Konfigurationsdateien verschlüsseln
-
Medien und Signalisierung verschlüsseln
-
Deaktivieren Sie diese Einstellungen, wenn sie nicht verwendet werden: PC-Port, PC-Sprach-VLAN-Zugriff, Telefon-ARP, Webzugriff, Schaltfläche "Einstellungen", SSH, Konsole
Durch die Implementierung von Sicherheitsmechanismen in der dedizierten Instanz werden Identitätsdiebstahl von Telefonen und dem Unified CM-Server, Datenmanipulationen und Manipulation von Anrufsignalisierung/ Medienstream-Manipulation verhindert.
Dedizierte Instanz über dem Netzwerk:
-
Richtet authentifizierte Kommunikationsstreams ein und verwaltet diese
-
Signiert Dateien digital, bevor die Datei auf das Telefon übertragen wird
-
Verschlüsselt Medienstreams und Anrufsignalisierung zwischen den Cisco Unified-Telefonen
Die Standardmäßige Sicherheit umfasst folgende automatische Sicherheitsfunktionen für Cisco Unified-Telefone:
-
Signieren der Telefonkonfigurationsdateien
-
Unterstützung für Dateiverschlüsselung der Telefonkonfigurationsdatei
-
HTTPS mit Tomcat und anderen Webdiensten (MIDlets)
Für Unified CM Version 8.0 höher sind diese Sicherheitsfunktionen standardmäßig verfügbar, ohne den CTL-Client (Certificate Trust List) ausführen zu müssen.
VertrauensverifizierungsdienstDa es in einem Netzwerk eine große Anzahl von Telefonen gibt und IP-Telefone nur über eingeschränkten Speicher verfügen, agiert Cisco Unified CM als Vertrauensspeicher auf dem Ferncomputer über den Trust Verification Service (TVS), sodass nicht auf jedem Telefon ein Zertifikatsspeicher platziert werden muss. Die Cisco IP-Telefone kontaktieren den TVS-Server zur Überprüfung, da sie eine Signatur oder ein Zertifikat nicht über CTL- oder ITL-Dateien verifizieren können. Ein zentrales Trust Store ist einfacher zu verwalten als das Speichern von Trust Store auf Cisco Unified IP-Telefon.
TVS ermöglicht es Cisco Unified IP-Telefonen, Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung zu authentifizieren.
Ursprüngliche VertrauenslisteDie Initial Trust List (ITL)-Datei wird für die anfängliche Sicherheit verwendet, damit die Endpunkte Cisco Unified CM vertrauen können. ITL benötigt keine ausdrücklich aktivierten Sicherheitsfunktionen. Die ITL-Datei wird bei der Installation des Clusters automatisch erstellt. Der private Schlüssel des Unified CM Trivial File Transfer Protocol (TFTP) wird für die Anmeldung der ITL-Datei verwendet.
Wenn sich Cisco Unified CM-Cluster oder -Server in einem nicht sicheren Modus befindet, wird die ITL-Datei auf jedes unterstützte Cisco IP-Telefon heruntergeladen. Ein Partner kann den Inhalt einer ITL-Datei mit dem CLI-Befehl admin:show itl anzeigen.
Cisco IP-Telefone benötigen die ITL-Datei, um die folgenden Aufgaben auszuführen:
-
Kommunizieren Sie sicher mit CAPF, einer Voraussetzung für die Unterstützung der Konfigurationsdateiverschlüsselung
-
Konfigurationsdateisignatur authentifizieren
-
Authentifizieren Sie Anwendungsserver wie EM-Dienste, Verzeichnis und MIDlet während der HTTPS-Erstellung mit TVS
Die Geräte-, Datei- und Signalisierungsauthentifizierung ist auf der Erstellung der Certificate Trust List (CTL)-Datei angewiesen, die erstellt wird, wenn der Partner oder Kunde den Cisco Certificate Trust List Client installiert und konfiguriert.
Die CTL-Datei enthält Einträge für die folgenden Server oder Sicherheitstokens:
-
SAST (System Administrator Security Token)
-
Cisco CallManager und Cisco TFTP-Dienste, die auf demselben Server ausgeführt werden
-
Proxy-Funktion der Zertifizierungsstelle (Certificate Authority Proxy Function, CAPF)
-
TFTP-Server
-
ASA-Firewall
Die CTL-Datei enthält für jeden Server ein Serverzertifikat, einen öffentlichen Schlüssel, eine Seriennummer, Signatur, den Ausstellernamen, den Betreffnamen, die Serverfunktion, den DNS-Namen und die IP-Adresse.
Die Telefonsicherheit mit CTL bietet folgende Funktionen:
-
Authentifizierung von heruntergeladenen TFTP-Dateien (Konfiguration, Land, Klingelliste, so weiter) mit einem Signierschlüssel
-
Verschlüsselung von TFTP-Konfigurationsdateien mit einem Signierschlüssel
-
Verschlüsselte Anrufsignalisierung für IP-Telefone
-
Verschlüsseltes Anrufaudio (Medien) für IP-Telefone
Dedizierte Instanz ermöglicht Endpunktregistrierung und Anrufverarbeitung. Die Signalisierung zwischen Cisco Unified CM und Endpunkten basiert auf Secure Skinny Client Control Protocol (SCCP) oder Session Initiation Protocol (SIP) und kann mit Transport Layer Security (TLS) verschlüsselt werden. Die Medien von/zu den Endpunkten basieren auf RtP (Real-Time Transport Protocol) und können auch mit Secure RTP (SRTP) verschlüsselt werden.
Das Aktivieren des gemischten Modus in Unified CM ermöglicht die Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.
Sichere UC-Anwendungen
Aktivieren des gemischten Modus in dedizierter InstanzDer gemischte Modus ist standardmäßig in der dedizierten Instanz aktiviert.
Das Aktivieren des gemischten Modus in dedizierter Instanz ermöglicht die Durchführung einer Verschlüsselung der Signalisierung und des Mediendatenverkehrs von und zu den Cisco-Endpunkten.
In Cisco Unified CM Version 12.5(1) wurde für Jabber und Webex-Clients eine neue Option zur Aktivierung der Signalisierung und Medien basierend auf SIP OAuth anstelle des gemischten Modus/CTL hinzugefügt. Daher können in Unified CM Version 12.5(1) SIP OAuth und SRTP zum Aktivieren der Verschlüsselung für Signalisierung und Medien für Jabber- oder Webex-Clients verwendet werden. Die Aktivierung des gemischten Modus ist zu diesem Zeitpunkt für Cisco IP-Telefone und andere Cisco-Endpunkte weiterhin erforderlich. Es gibt einen Plan, um die Unterstützung für SIP OAuth in einer zukünftigen Version bei den Endpunkten 7800/8800 hinzuzufügen.
Sicherheit für SprachnachrichtenCisco Unity Connection über den TLS-Port eine Verbindung zu Unified CM. Wenn der Gerätesicherheitsmodus nicht sicher ist, Cisco Unity Connection über den SCCP-Port eine Verbindung zu Unified CM.
Um die Sicherheit für Unified CM Voice-Messaging-Ports und Cisco Unity-Geräte zu konfigurieren, auf denen SCCP oder Cisco Unity Connection-Geräte ausgeführt werden, kann ein Partner einen sicheren Gerätesicherheitsmodus für den Port auswählen. Wenn Sie einen authentifizierten Voicemail-Port auswählen, wird eine TLS-Verbindung geöffnet, die die Geräte über einen Mutual Certificate Exchange authentifiziert (jedes Gerät akzeptiert das Zertifikat des anderen Geräts). Wenn Sie einen verschlüsselten Voicemail-Port wählen, authentifiziert das System zunächst die Geräte und sendet dann verschlüsselte Sprachstreams zwischen den Geräten.
Weitere Informationen zu Den Security Voice Messaging-Ports finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sicherheit für SRST, Trunks, Gateways, CUBE/SBC
Ein Cisco Unified survivable Remote Site Telephony (SRST)-fähiges Gateway bietet eingeschränkte Anrufverarbeitungsaufgaben, wenn die Cisco Unified CM auf dedizierter Instanz den Anruf nicht durchführen kann.
Sichere SRST-fähige Gateways enthalten ein selbstsigniertes Zertifikat. Nachdem ein Partner SRST-Konfigurationsaufgaben in Unified CM Administration ausführt, verwendet Unified CM eine TLS-Verbindung, um sich beim Zertifikatanbieterdienst im SRST-aktivierten Gateway zu authentifizieren. Unified CM ruft dann das Zertifikat vom SRST-aktivierten Gateway ab und fügt das Zertifikat zur Unified CM-Datenbank hinzu.
Nachdem der Partner die abhängigen Geräte in Unified CM Administration zurückgesetzt hat, fügt der TFTP-Server das SRST-fähige Gatewayzertifikat zur Telefondatei cnf.xml hinzu und sendet die Datei an das Telefon. Ein sicheres Telefon verwendet dann eine TLS-Verbindung, um mit dem SRST-fähigen Gateway zu interagieren.
Es wird empfohlen, sichere Trunks für den Anruf von Cisco Unified CM zum Gateway für ausgehende PSTN-Anrufe oder Traversing durch das Cisco Unified Border Element (CUBE) zu verwenden.
SIP-Trunks können sichere Anrufe sowohl für die Signalisierung als auch für Medien unterstützen; TLS bietet Signalisierungsverschlüsselung und SRTP Medienverschlüsselung.
Sicherung der Kommunikation zwischen Cisco Unified CM und CUBE
Für eine sichere Kommunikation zwischen Cisco Unified CM und CUBE müssen Partner/Kunden entweder selbstsignierte oder CA-signierte Zertifikate verwenden.
Für selbstsignierte Zertifikate:
-
CUBE und Cisco Unified CM erzeugen selbstsignierte Zertifikate
-
CUBE exportiert Zertifikat in Cisco Unified CM
-
Cisco Unified CM exportiert Zertifikat an CUBE
Für CA-signierte Zertifikate:
-
Client generiert ein Schlüsselpaar und sendet eine Zertifikatsignieranforderung (CSR) an die Zertifizierungsstelle (CA).
-
Die ZERTIFIZIERUNGsstelle signiert sie mit ihrem privaten Schlüssel und erstellt ein Identitätszertifikat.
-
Der Client installiert die Liste der vertrauenswürdigen CA-Stamm- und Vertrauenswürdigkeitszertifikate sowie das Identitätszertifikat
Sicherheit für Remote-Endpunkte
Mit Mobilen und Remote Access (MRA)-Endpunkten werden Signalisierung und Medien immer zwischen den MRA-Endpunkten und den Expressway verschlüsselt. Wenn das Interactive Connectivity Connectivity Connectivity (ICE)-Protokoll für MRA-Endpunkte verwendet wird, ist eine Signalisierung und Medienverschlüsselung der MRA-Endpunkte erforderlich. Die Verschlüsselung der Signalisierung und der Medien zwischen Expressway-C und den internen Unified CM-Servern, internen Endpunkten oder anderen internen Geräten erfordert jedoch einen gemischten Modus oder SIP OAuth.
Cisco Expressway bietet sichere Firewall-Traversal- und leitungsseitige Unterstützung für Unified CM-Registrierungen. Unified CM bietet die Anrufsteuerung für mobile und lokale Endpunkte. Die Signalisierung durchquert die Expressway-Lösung zwischen dem Remote-Endpunkt und Unified CM. Die Medien durchqueren die Expressway Lösung und werden direkt zwischen Endpunkten umvermittelt. Alle Medien werden zwischen dem Expressway-C und dem mobilen Endpunkt verschlüsselt.
Jede MRA-Lösung erfordert Expressway und Unified CM mit MRA-kompatiblen Soft-Clients und/oder festen Endpunkten. Die Lösung kann optional den IM- und Presence-Dienst und Unity Connection umfassen.
Protokollzusammenfassung
In der folgenden Tabelle werden die Protokolle und die zugehörigen Dienste aufgeführt, die in der Unified CM-Lösung verwendet werden.
Protokoll |
Sicherheit |
Dienst |
---|---|---|
SIP |
TLS |
Sitzungseinrichtung: Registrieren, Einladen usw. |
HTTPS |
TLS |
Anmeldung, Bereitstellung/Konfiguration, Verzeichnis, Visual Voicemail |
Medien |
SRTP |
Medien: Audio, Video, Teilen von Inhalten |
XMPP |
TLS |
Instant Messaging, Präsenz, Verbund |
Weitere Informationen zur MRA-Konfiguration finden Sie unter: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsoptionen
Die dedizierte Instanz bietet dem Partner flexibilität, Dienste für Endbenutzer durch vollständige Kontrolle der Konfiguration von Tag zwei anzupassen. Aus diesem Grund ist der Partner allein für die ordnungsgemäße Konfiguration des Dedizierten Instanzdienstes für die Umgebung des Endbenutzers verantwortlich. Dies umfasst, aber nicht beschränkt auf:
-
Bei der Auswahl sicherer/unsicherer Anrufe, sicherer/unsicherer Protokolle wie SIP/sSIP, http/https usw. sind die damit verbundenen Risiken zu verstehen.
-
Für alle MAC-Adressen, die in der dedizierten Instanz nicht als SECURE-SIP konfiguriert sind, kann ein Angreifer eine SIP-Register-Nachricht mit dieser MAC-Adresse senden und SIP-Anrufe tätigen, was zu einem Gebührenbetrug führt. Die jeweiligen Anforderungen sind, dass der Angreifer sein SIP-Gerät/ seine -Software ohne Autorisierung für die dedizierte Instanz registrieren kann, wenn er die MAC-Adresse eines Geräts kennt, das in einer dedizierten Instanz registriert ist.
-
Expressway-E-Anrufrichtlinien müssen Transformations- und Suchregeln konfiguriert werden, um Gebührenbetrug zu verhindern. Weitere Informationen zur Verhinderung von Gebührenbetrug mit Expressways finden Sie unter Sicherheit Expressway C und Expressway-E des Collaboration SRND.
-
Wählplan-Konfiguration, um sicherzustellen, dass Benutzer nur Ziele wählen können, die zulässig sind, z. B. nationale/internationale Gespräche verbieten, Notrufe ordnungsgemäß weitergeleitet werden usw. Weitere Informationen zum Anwenden von Einschränkungen bei der Verwendung des Wählplans finden Sie im Abschnitt Wählplan in der Collaboration SRND.
Zertifikatsanforderungen für sichere Verbindungen in dedizierter Instanz
Für eine dedizierte Instanz stellt Cisco die Domäne zur Verfügung und signiert alle Zertifikate für die UC-Anwendungen mithilfe einer öffentlichen Zertifizierungsstelle (CA).
Dedizierte Instanz – Portnummern und Protokolle
In den folgenden Tabellen werden die Ports und Protokolle beschrieben, die für die dedizierte Instanz unterstützt werden. Ports, die für einen bestimmten Kunden verwendet werden, hängen von der Bereitstellung und Lösung des Kunden ab. Die Protokolle hängen von der Präferenz des Kunden (SCCP gegenüber SIP), vorhandenen lokalen Geräten und dem Sicherheitsniveau ab, um zu bestimmen, welche Ports in der jeweiligen Bereitstellung verwendet werden sollen.
Die dedizierte Instanz lässt keine NAT (Network Address Translation) zwischen Endpunkten und Unified CM zu, da einige der Anruffluss-Funktionen, z. B. die Mid-Call-Funktion, nicht funktionieren.
Dedizierte Instanz – Kundenports
Die für Kunden verfügbaren Ports zwischen dem lokalen Kunden und der dedizierten Instanz sind in Tabelle 1 Dedizierte Kundenports für Instanzen aufgeführt. Alle unten aufgeführten Ports sind für Kundenverkehr über die Peering-Links.
Der SNMP-Port ist standardmäßig nur für Cisco Emergency Responder geöffnet, um seine Funktionalität zu unterstützen. Da wir Partner oder Kunden, die die in der Cloud der dedizierten Instanz bereitgestellten UC-Anwendungen überwachen, nicht unterstützen, lassen wir das Öffnen des SNMP-Ports für andere UC-Anwendungen nicht zu.
Ports im Bereich 5063 bis 5080 werden von Cisco für andere Cloud-Integrationen reserviert. Es wird empfohlen, Partner- oder Kundenadministratoren nicht diese Ports in ihren Konfigurationen zu verwenden.
Protokoll |
TCP/UDP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
UC-Anwendungen Nicht zulässig für Cisco Expressway-Anwendungen. |
Größer als 1023 |
22 |
Administration |
Tftp |
UDP |
Endgeräte |
Unified CM |
Größer als 1023 |
69 |
Unterstützung älterer Endpunkte |
LDAP |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
389 |
Directory Sync mit Kunden LDAP |
HTTPS |
TCP |
Browser |
UC-Anwendungen |
Größer als 1023 |
443 |
Webzugriff für Self-Care- und administrative Schnittstellen |
Ausgehende E-Mail (SECURE) |
TCP |
UC-Anwendung |
CUCxn |
Größer als 1023 |
587 |
Erstellt und sendet sichere Nachrichten an bestimmte Empfänger. |
LDAP (SICHER) |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
636 |
Directory Sync mit Kunden LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
H323 |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
1720 |
Anrufsignalisierung |
SCCP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2000 |
Anrufsignalisierung |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2000 |
Anrufsignalisierung |
MGCP |
UDP |
Gateway |
Gateway |
Größer als 1023 |
2427 |
Anrufsignalisierung |
MGCP Backhaul |
TCP |
Gateway |
Unified CM |
Größer als 1023 |
2428 |
Anrufsignalisierung |
SCCP (SICHER) |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
2443 |
Anrufsignalisierung |
SCCP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
2443 |
Anrufsignalisierung |
Überprüfung der Vertrauenswürdigkeit |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2445 |
Bereitstellung eines Vertrauensverifizierungsdiensts für Endpunkte |
Cti |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2748 |
Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager |
Sichere CTI |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
2749 |
Sichere Verbindung zwischen CTI-Anwendungen (JTAPI/TSP) und CTIManager |
LDAP Globaler Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3268 |
Directory Sync mit Kunden LDAP |
LDAP Globaler Katalog |
TCP |
UC-Anwendungen |
Externes Verzeichnis |
Größer als 1023 |
3269 |
Directory Sync mit Kunden LDAP |
CAPF-Dienst |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
3804 |
Proxy-Funktion der Zertifizierungsstelle (CAPF) – Überwachungsport für die Ausgabe von lokal wichtigen Zertifikaten (LSC) an IP-Telefone |
SIP |
TCP |
Endgeräte |
Unified CM, CUCxn |
Größer als 1023 |
5060 |
Anrufsignalisierung |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5060 |
Anrufsignalisierung |
SIP (SICHER) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5061 |
Anrufsignalisierung |
SIP (SICHER) |
TCP |
Unified CM |
Unified CM, Gateway |
Größer als 1023 |
5061 |
Anrufsignalisierung |
SIP (OAUTH) |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
5090 |
Anrufsignalisierung |
XMPP |
TCP |
Jabber-Client |
Cisco IM&P |
Größer als 1023 |
5222 |
Instant Messaging und Präsenz |
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6970 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6971 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTPS |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
6972 |
Konfiguration und Bilder werden auf Endpunkte heruntergeladen |
HTTP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7080 |
Voicemail-Benachrichtigungen |
HTTPS |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7443 |
Sichere Voicemail-Benachrichtigungen |
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7501 |
Wird von Intercluster Lookup Service (ILS) für zertifikatbasierte Authentifizierung verwendet |
HTTPS |
TCP |
Unified CM |
Unified CM |
Größer als 1023 |
7502 |
Wird von ILS für die passwortbasierte Authentifizierung verwendet |
IMAP |
TCP |
Jabber-Client |
CUCxn |
Größer als 1023 |
7993 |
IMAP über TLS |
HTTP |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
8080 |
Verzeichnis-URI für Legacy-Endpunktunterstützung |
HTTPS |
TCP |
Browser, Endpunkt |
UC-Anwendungen |
Größer als 1023 |
8443 |
Webzugriff für Self-Care- und administrative Schnittstellen, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Größer als 1023 |
9443 |
Authentifizierte Kontaktsuche |
HTTPs |
TCP |
Endgeräte |
Unified CM |
Größer als 1023 |
9444 |
Headset-Verwaltungsfunktion |
Sicheres RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung) |
Sicheres RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 bis 32767 * |
16384 bis 32767 * |
Medien (Audio) – Music On Hold, Annunciator, Software Conference Bridge (Offen basierend auf Anrufsignalisierung) |
Kobras |
TCP |
Client |
CUCxn |
Größer als 1023 |
20532 |
Anwendungssuite sichern und wiederherstellen |
ICMP |
ICMP |
Endgeräte |
UC-Anwendungen |
k. A. |
k. A. |
Ping |
ICMP |
ICMP |
UC-Anwendungen |
Endgeräte |
k. A. |
k. A. |
Ping |
DNS | UDP und TCP |
DNS-Spediteur |
DNS-Server der dedizierten Instanz |
Größer als 1023 |
53 |
Kundenstandort-DNS-Spediteure an DNS-Server der dedizierten Instanz. Weitere Informationen finden Sie unter DNS-Anforderungen . |
* Bei bestimmten Sonderfällen kann eine größere Reichweite verwendet werden. |
Dedizierte Instanz – OTT-Ports
Der folgende Port kann von Kunden und Partnern für die Einrichtung von Mobil- und Remotezugriff (MRA) verwendet werden:
Protokoll |
TCP/UCP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
SICHERES RTP/RTCP |
UDP |
Expressway-C |
Client |
Größer als 1023 |
36000-59999 |
Sichere Medien für MRA- und B2B-Anrufe |
Interop-SIP-Trunk zwischen Multitenant und Dedicated Instance (nur für registrierungsbasierten Trunk)
Die folgende Liste an Ports muss in der Firewall des Kunden für den registrierungsbasierten SIP-Übertragungsweg zwischen der Multitenant- und der dedizierten Instanz zugelassen sein.
Protokoll |
TCP/UCP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling-Multitenant |
Client |
Größer als 1023 |
8000-48198 |
Medien vom Webex Calling-Multitenant |
Dedizierte Instanz – UCCX-Ports
Die folgende Liste von Ports kann von Kunden und Partnern für die UCCX-Konfiguration verwendet werden.
Protokoll |
TCP /UCP |
Quelle |
Ziel |
Quellport |
Zielport |
Zweck |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
UCCX |
Größer als 1023 |
22 |
SFTP und SSH |
Informix |
TCP |
Client oder Server |
UCCX |
Größer als 1023 |
1504 |
Contact Center Express-Datenbankport |
SIP |
UDP und TCP |
SIP-SIP-SIP- oder MCRP-Server |
UCCX |
Größer als 1023 |
5065 |
Kommunikation mit remoten CFS- und MCRP-Knoten |
XMPP |
TCP |
Client |
UCCX |
Größer als 1023 |
5223 |
Sichere XMPP-Verbindung zwischen dem Finesse-Server und benutzerdefinierten Anwendungen von Drittanbietern |
Cvd |
TCP |
Client |
UCCX |
Größer als 1023 |
6999 |
Editor zu CCX-Anwendungen |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
7443 |
SichereCOMPUTER-Verbindung zwischen Finesse-Server und Agenten- und Supervisor-Desktops für die Kommunikation über HTTPS |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8080 |
Clients für Berichte mit Echtzeitdaten verbinden sich mit einem socket.IO-Server |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8081 |
Client-Browser, der versucht, auf Cisco Unified Intelligence Center-Weboberfläche zu zugreifen |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
8443 |
Admin-GUI, RTMT, DB-Zugriff über SOAP |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8444 |
Cisco Unified Intelligence Center-Webschnittstelle |
HTTPS |
TCP |
Browser- und REST-Clients |
UCCX |
Größer als 1023 |
8445 |
Sicherer Port für Finesse |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8447 |
HTTPS – Unified Intelligence Center Online-Hilfe |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
8553 |
Single Sign-On (SSO)-Komponenten greifen auf diese Schnittstelle zu, um den Betriebsstatus des Cisco IdS zu erfahren. |
HTTP |
TCP |
Client |
UCCX |
Größer als 1023 |
9080 |
Clients, die auf HTTP-Trigger oder Dokumente/Eingaben/Grammatiken/Live-Daten zugreifen wollen. |
HTTPS |
TCP |
Client |
UCCX |
Größer als 1023 |
9443 |
Sicherer Port für die Antwort auf Clients, die auf HTTPS-Trigger zugreifen wollen |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12014 |
Dies ist der Port, über den Clients für Berichte mit Echtzeitdaten mit dem socket.IO-Server verbunden werden können. |
TCP |
TCP |
Client |
UCCX |
Größer als 1023 |
12015 |
Dies ist der Port, über den Clients für Berichte mit Echtzeitdaten mit dem socket.IO-Server verbunden werden können. |
Cti |
TCP |
Client |
UCCX |
Größer als 1023 |
12028 |
Drittanbieter-CTI-Client zu CCX |
RTP (Medien) |
TCP |
Endgeräte |
UCCX |
Größer als 1023 |
Größer als 1023 |
Der Medienport wird bei Bedarf dynamisch geöffnet. |
RTP (Medien) |
TCP |
Client |
Endgeräte |
Größer als 1023 |
Größer als 1023 |
Der Medienport wird bei Bedarf dynamisch geöffnet. |
Client-Sicherheit
Sichern von Jabber und Webex mit SIP OAuth
Jabber- und Webex-Clients werden über ein OAuth-Token anstatt über ein lokal bedeutendes Zertifikat (LSC) authentifiziert, das keine Proxyfunktion der Zertifizierungsstelle (CAPF) erfordert (auch für MRA). Sip OAuth arbeiten mit oder ohne gemischten Modus wurde in Cisco Unified CM 12.5(1), Jabber 12.5 und Expressway X12.5 eingeführt.
In Cisco Unified CM 12.5 verfügen wir über eine neue Option im Telefonsicherheitsprofil, mit der die Verschlüsselung ohne LSC/CAPF unter Verwendung von single Transport Layer Security (TLS) + OAuth Token in SIP REGISTER ermöglicht wird. Expressway-C-Knoten verwenden die ADMINISTRATIVE XML Web Service (AXL)-API, um den Cisco Unified CM über den SN/SAN in ihrem Zertifikat zu informieren. Cisco Unified CM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine Verbindung Mutual TLS wird.
SIP OAuth ermöglicht Medien- und Signalisierungsverschlüsselung ohne ein Endpunktzertifikat (LSC).
Cisco Jabber verwendet kurzlebige Ports und sichere Ports 6971 und 6972 über HTTPS-Verbindung zum TFTP-Server, um die Konfigurationsdateien herunterzuladen. Port 6970 ist ein nicht sicherer Port für den Download über HTTP.
Weitere Details zur Konfiguration der SIP OAuth: SIP-OAuth-Modus.
DNS-Anforderungen
Für die dedizierte Instanz stellt Cisco den FQDN für den Dienst in den einzelnen Regionen mit dem folgenden Format bereit: ..wxc-di.webex.com zum Beispiel xyz.amer.wxc-di.webex.com.
Der Wert "Kunde" wird vom Administrator als Teil des FIRST Time Setup Wizard (FTSW) bereitgestellt. Weitere Informationen finden Sie unter Aktivierung des dedizierten Instanzdiensts.
DNS-Einträge für FQDN müssen vom internen DNS-Server des Kunden zur Unterstützung von lokalen Geräten, die sich mit der dedizierten Instanz verbinden, auflösbar sein. Um eine Lösung zu vereinfachen, muss der Kunde einen bedingten Forwarder für diese FQDN auf dem DNS-Server konfigurieren, der auf den DNS-Dienst der dedizierten Instanz verweisen soll. Der DNS-Dienst der dedizierten Instanz ist regional und kann über das Peering an die dedizierte Instanz unter Verwendung der folgenden IP-Adressen erreicht werden, wie in der folgenden Tabelle DNS-Dienst der dedizierten Instanz angegeben.
Region/DC | DEDIZIERTE DNS-Dienst-IP-Adresse der Instanz |
Beispiel für eine bedingte Weiterleitung |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
Fra |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Sünde |
103.232.71.100 |
|
Tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
GB |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
Mann |
178.215.135.228 |
Die Ping-Option ist für die oben genannten DNS-Server-IP-Adressen aus Sicherheitsgründen deaktiviert.
Geräte können sich über die Peering-Links nicht über das interne Kundennetzwerk bei der dedizierten Instanz registrieren, bis die bedingte Weiterleitung besteht. Bedingte Weiterleitung ist für die Registrierung über Mobile and Remote Access (MRA) nicht erforderlich, da alle zur Unterstützung von MRA erforderlichen externen DNS-Einträge von Cisco vorab bereitgestellt werden.
Wenn Sie die Webex-Anwendung als Ihren Anruf-Soft-Client auf dedizierter Instanz verwenden, muss im Control Hub für die Voice Service Domain (VSD) jeder Region ein UC Manager-Profil konfiguriert werden. Weitere Informationen finden Sie in den UC Manager-Profilen Cisco Webex Control Hub. Die Webex-Anwendung ist in der Lage, den Edge des Kunden Expressway ohne Eingriffe des Endbenutzers automatisch zu lösen.
Die Sprachdienstdomäne wird dem Kunden als Teil des Partnerzugriffsdokuments bereitgestellt, sobald die Dienstaktivierung abgeschlossen ist.
Lokalen Router für die DNS-Auflösung des Telefons verwenden
Bei Telefonen, die keinen Zugriff auf die DNS-Server des Unternehmens haben, ist es möglich, einen lokalen Cisco-Router zu verwenden, um DNS-Anforderungen an das Cloud-DNS der dedizierten Instanz weiterzuleiten. Dadurch entfällt die Notwendigkeit, einen lokalen DNS-Server bereitzustellen, und es wird vollständige DNS-Unterstützung einschließlich Caching bereitgestellt.
Beispielkonfiguration :
!
IP DNS-Server
IP-Name-Server
!
Die DNS-Nutzung in diesem Bereitstellungsmodell ist spezifisch für Telefone und kann nur verwendet werden, um FQDNs mit der Domäne von der dedizierten Instanz des Kunden aufzulösen.
Referenzen
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Sicherheitsthema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Sicherheitsleitfaden für Cisco Unified Communications Manager(CUCM): https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html