Este documento se centra principalmente en los requisitos de red y seguridad para la solución de instancia dedicada, incluido el enfoque en capas de las características y funcionalidades que brindan acceso físico seguro, una red segura, puntos finales seguros y aplicaciones de Cisco UC seguras.
Requisitos de red para la instancia dedicada
La instancia dedicada de Webex Calling es parte de la cartera de Nube de Cisco Calling, impulsada por la tecnología de colaboración Cisco Unified Communications Manager (Cisco Unified CM). La instancia dedicada ofrece soluciones de voz, vídeo, mensajería y movilidad con las características y ventajas de los teléfonos IP , los dispositivos móviles y los clientes de escritorio de Cisco que se conectan de forma segura a la instancia dedicada.
Este artículo está destinado a los administradores de red, en particular a los administradores de seguridad de firewall y proxy que desean utilizar una instancia dedicada dentro de su organización.
Resumen de seguridad: Seguridad en capas
Instancia dedicada utiliza un enfoque en capas para la seguridad. Las capas incluyen:
Acceso físico
Red
Extremos
Aplicaciones de UC
Las siguientes secciones describen las capas de seguridad en Instancia dedicada despliegues.
Seguridad física
Es importante proporcionar seguridad física a las ubicaciones de las salas Meet-Me de Equinix y a Cisco Instancia dedicada Instalaciones del centro de datos. Cuando la seguridad física se ve comprometida, se pueden iniciar ataques simples como la interrupción del servicio al apagar los interruptores de un cliente. Con acceso físico, los atacantes podrían acceder a los dispositivos del servidor, restablecer las contraseñas y obtener acceso a los conmutadores. El acceso físico también facilita ataques más sofisticados, como los ataques de intermediario, por lo que la segunda capa de seguridad, la seguridad de la red, es fundamental.
Las unidades de autocifrado se utilizan en Instancia dedicada Centros de datos que alojan aplicaciones de UC.
Para obtener más información sobre las prácticas de seguridad generales, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Seguridad de la red
Los socios deben asegurarse de que todos los elementos de la red estén protegidos Instancia dedicada infraestructura (que se conecta a través de Equinix). Es responsabilidad del socio garantizar las procedimientos recomendados de seguridad, tales como:
VLAN separada para voz y datos
Habilite la seguridad del puerto, que limita la cantidad de direcciones MAC permitidas por puerto, contra la inundación de la tabla CAM
Protección de la fuente de IP contra direcciones IP falsificadas
La inspección dinámica de ARP (DAI) examina el protocolo de resolución de direcciones (ARP) y el ARP gratuito (GARP) en busca de violaciones (contra la suplantación de ARP)
802.1x limita el acceso a la red para autenticar dispositivos en las VLAN asignadas (los teléfonos admiten 802.1x )
Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz
Configuraciones de puertos de firewall para bloquear cualquier otro tráfico
Seguridad de terminales
Los puntos finales de Cisco admiten características de seguridad predeterminadas, como firmware firmado, arranque seguro (modelos seleccionados), certificado instalado por el fabricante (MIC) y archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los puntos finales.
Además, un socio o cliente puede habilitar seguridad adicional, como:
Cifrar los servicios de Teléfono IP (a través de HTTPS) para servicios como Extension Mobility
Emitir certificados de importancia local (LSC) desde la certificate authority proxy function (CAPF) o una autoridad de certificación pública (CA)
Cifrar archivos de configuración
Cifrar medios y señalización
Deshabilite estas configuraciones si no se utilizan: puerto PC de PC , acceso a VLAN de voz de PC, ARP gratuito, acceso Web , botón de configuración, SSH, consola
Implementar mecanismos de seguridad en el Instancia dedicada previene el robo de identidad de los teléfonos y el Servidor de Unified CM, la manipulación de datos y la manipulación de señales de llamada / flujo de medios.
Instancia dedicada a través de la red:
Establece y mantiene flujos de comunicación autenticados
Firma digitalmente archivos antes de transferirlos al teléfono
Cifra las transmisiones de medios y la señalización de llamadas entre teléfonos IP de Cisco Unified
La seguridad de forma predeterminada proporciona las siguientes características de seguridad automática para los teléfonos IP de Cisco Unified:
Firma de los archivos de configuración del teléfono
Soporte para el cifrado de archivos de configuración del teléfono
HTTPS con Tomcat y otros servicios Web (MIDlets)
Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de forma predeterminada sin ejecutar el cliente de lista de confianza de certificados (CTL).
Debido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS), por lo que no es necesario colocar un almacén de confianza de certificados en cada teléfono. Los teléfonos IP de Cisco se comunican con el servidor de TVS para la verificación porque no pueden verificar una firma o certificado a través de archivos CTL o ITL. Tener un almacén de confianza central es más fácil de administrar que tener el almacén de confianza en cada Teléfono IP de Cisco Unified.
TVS permite a los teléfonos IP de Cisco Unified autenticar servidores de aplicaciones, como servicios EM , directorio y MIDlet, durante el establecimiento de HTTPS.
El archivo Initial Trust List (ITL) se utiliza para la seguridad inicial, de modo que los puntos finales puedan confiar en Cisco Unified CM. ITL no necesita que se habilite ninguna característica de seguridad explícitamente. El archivo ITL se crea automáticamente cuando se instala el clúster. La clave privada del servidor Unified CM Trivial File Transfer Protocol (TFTP) se utiliza para firmar el archivo ITL.
Cuando el clúster o servidor de Cisco Unified CM está en modo seguro , el archivo ITL se descarga en todos los Teléfono IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando CLI, admin: show itl.
Los teléfonos IP de Cisco necesitan el archivo ITL para realizar las siguientes tareas:
Comunicarse de forma segura con CAPF, un requisito previo para admitir el cifrado de archivo de configuración
Autenticar la firma del archivo de configuración
Autenticar servidores de aplicaciones, como servicios EM , directorio y MIDlet durante el establecimiento de HTTPS mediante TVS
La autenticación de dispositivos, archivos y señalización se basa en la creación del archivo de lista de confianza de certificados (CTL), que se crea cuando el socio o el cliente instala y configura el cliente de lista de confianza de certificados de Cisco .
El archivo CTL contiene entradas para los siguientes servidores o tokens de seguridad:
Token de seguridad del administrador del sistema (SAST)
Servicios Cisco CallManager y Cisco TFTP que se ejecutan en el mismo servidor
Función de proxy de la Certificate Authority (CAPF)
Servidor (s) TFTP
ASA firewall
El archivo CTL contiene un certificado de servidor, clave pública, número de serie, firma, nombre del emisor, nombre del sujeto, función del servidor, nombre DNS y dirección IP para cada servidor.
La seguridad del teléfono con CTL proporciona las siguientes funciones:
Autenticación de archivos TFTP descargados (configuración, configuración regional, lista de llamadas, etc.) mediante una clave de firma
Cifrado de archivos de configuración TFTP mediante una clave de firma
Señalización de llamadas cifradas para teléfonos IP
Audio de llamada cifrado (medios) para teléfonos IP
Instancia dedicada proporciona registro de terminales y procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en el Protocolo de Control de cliente Skinny seguro (SCCP) o el Protocolo de inicio de sesión (SIP) y se puede cifrar mediante Seguridad de la capa de transporte (TLS). Los medios desde / hacia los puntos finales se basan en el Protocolo de transporte en tiempo real (RTP) y también se pueden cifrar mediante Secure RTP (SRTP).
La habilitación del modo mixto en Unified CM habilita el cifrado de la señalización y el tráfico de medios desde y hacia los puntos finales de Cisco .
Aplicaciones de UC seguras
El modo mixto está activado de forma predeterminada en Instancia dedicada .
Habilitar el modo mixto en Instancia dedicada permite la capacidad de realizar el cifrado de la señalización y el tráfico de medios desde y hacia los puntos finales de Cisco .
En la versión 12.5 (1) de Cisco Unified CM , se agregó una nueva opción para habilitar el cifrado de señalización y medios basados en SIP OAuth en lugar del modo mixto / CTL para los clientes de Jabber y Webex . Por lo tanto, en la versión 12.5 (1) de Unified CM , SIP OAuth y SRTP se pueden utilizar para habilitar el cifrado para la señalización y los medios para los clientes de Jabber o Webex . La habilitación del modo mixto sigue siendo necesaria para los teléfonos IP de Cisco y otros puntos finales de Cisco en este momento. Existe un plan para agregar soporte para SIP OAuth en los puntos finales 7800/8800 en una versión futura.
Cisco Unity Connection se conecta a Unified CM a través del puerto TLS . Cuando el modo de seguridad del dispositivo no es seguro, Cisco Unity Connection se conecta a Unified CM a través del puerto SCCP .
Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos Cisco Unity que ejecutan SCCP o los dispositivos Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivo seguro para el puerto. Si elige un puerto de buzón de voz de voz autenticado, se abre una conexión TLS , que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de buzón de voz de voz cifrado, el sistema primero autentica los dispositivos y luego envía transmisiones de voz cifradas entre los dispositivos.
Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Seguridad para SRST, enlaces troncales, puertas de enlace, CUBE / SBC
Una puerta de enlace habilitada para Cisco Unified Survivable Remote Site Telephony (SRST) proporciona tareas limitadas de procesamiento de llamadas si Cisco Unified CM en Instancia dedicada no se puede completar la llamada.
Las puertas de enlace seguras SRST contienen un certificado firmado automáticamente. Después de que un socio realiza las tareas de configuración de SRST en la Unified CM Administration, Unified CM utiliza una conexión TLS para autenticarse con el servicio del proveedor de certificados en la Puerta de enlace habilitada para SRST. Luego, Unified CM recupera el certificado de la Puerta de enlace habilitada para SRST y agrega el certificado a la base de datos de Unified CM .
Una vez que el socio restablece los dispositivos dependientes en Unified CM Administration, el servidor TFTP agrega el certificado de Puerta de enlace habilitada para SRST para SRST al archivo cnf.xml del teléfono y lo envía al teléfono. Luego, un teléfono seguro utiliza una conexión TLS para interactuar con la Puerta de enlace habilitada para SRST.
Se recomienda tener enlaces troncales seguros para la llamada que se origina desde Cisco Unified CM a la puerta de enlace para las llamadas PSTN salientes o que atraviesan el Cisco Unified Border Element (CUBE).
Los troncales SIP pueden admitir llamadas seguras tanto para señalización como para medios; TLS proporciona cifrado de señalización y SRTP proporciona cifrado de medios.
Protección de las comunicaciones entre Cisco Unified CM y CUBE
Para comunicaciones seguras entre Cisco Unified CM y CUBE, los socios / clientes deben utilizar certificado firmado automáticamente una CA.
Para certificados autofirmados:
CUBE y Cisco Unified CM generan certificados autofirmados
CUBE exporta el certificado a Cisco Unified CM
Cisco Unified CM exporta el certificado a CUBE
Para certificados firmados por una CA:
El cliente genera un par de claves y envía una solicitud de firma de certificado (CSR) a la Certificate Authority (CA)
La CA lo firma con su clave privada, creando un Certificado de Identidad
El cliente instala la lista de certificados raíz e intermediarios de CA de confianza y el certificado de identidad
Seguridad para terminales remotos
Con los puntos finales de Remote Access (MRA), la señalización y los medios siempre se cifran entre los puntos finales de MRA y los nodos de Expressway. Si se utiliza el protocolo de establecimiento de conectividad interactiva (ICE) para los extremos de MRA, se requiere la señalización y el cifrado de medios de los extremos de MRA. Sin embargo, el cifrado de la señalización y los medios entre Expressway-C y los servidores internos de Unified CM , los extremos internos u otros dispositivos internos, requiere modo mixto o SIP OAuth.
Cisco Expressway proporciona un cruce de firewall seguro y soporte del lado de la línea para los registros de Unified CM . Unified CM proporciona control de llamada tanto para terminales móviles como en las instalaciones . La señalización atraviesa la solución Expressway entre el punto final remoto y Unified CM. Los medios atraviesan la solución Expressway y se transmiten directamente entre los puntos finales. Todos los medios están encriptados entre Expressway-C y el punto final móvil.
Cualquier solución de MRA requiere Expressway y Unified CM, con clientes de software compatibles con MRA y / o terminales fijos. La solución puede incluir opcionalmente el servicio de IM y Servicio de presencia y Unity Connection.
Resumen del protocolo
La siguiente tabla muestra los protocolos y los servicios asociados que se utilizan en la solución Unified CM .
Protocolo |
Seguridad |
Servicio |
|---|---|---|
SIP |
TLS |
Establecimiento de la sesión: Registrarse, invitar, etc. |
HTTPS |
TLS |
Inicio de sesión, aprovisionamiento / configuración, directorio, correo de voz visual |
Multimedia |
SRTP |
Medios: Audio, vídeo, uso compartido de contenido |
XMPP |
TLS |
Mensajería instantánea, presencia, federación |
Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opciones de configuración
El Instancia dedicada proporciona a los socios la flexibilidad de personalizar los servicios para los usuarios finales mediante el control total de las configuraciones del segundo día. Como resultado, el socio es el único responsable de la configuración adecuada de Instancia dedicada servicio para el entorno del usuario final. Esto incluye, entre otros:
Elegir llamadas seguras / no seguras, protocolos seguros / no seguros como SIP/ sSIP, http / https, etc. y comprender los riesgos asociados.
Para todas las direcciones MAC no configuradas como seguras: SIP en Instancia dedicada , un atacante puede enviar un mensaje de registro SIP utilizando esa dirección MAC y poder realizar llamadas SIP , lo que resulta en fraude telefónico. La ventaja es que el atacante puede registrar su dispositivo SIP para Instancia dedicada sin autorización si conocen la dirección MAC de un dispositivo registrado en Instancia dedicada .
Las políticas de llamadas, la transformación y las reglas de búsqueda de Expressway-E deben configurarse para evitar el fraude telefónico. Para obtener más información sobre cómo prevenir el fraude telefónico mediante Expressways, consulte la sección Seguridad para Expressway C y Expressway-E de Colaboración SRND .
Configuración del plan de marcación para garantizar que los usuarios solo puedan marcar los destinos permitidos, por ejemplo, prohibir la marcación nacional / internacional, las llamadas de emergencia se enrutan correctamente, etc. Para obtener más información sobre la aplicación de restricciones mediante el plan de marcación, consulte Plan de marcado sección de Colaboración SRND.
Requisitos de certificado para conexiones seguras en una instancia dedicada
Para la instancia dedicada, Cisco proporcionará el dominio y firmará todos los certificados para las aplicaciones de UC mediante una Certificate Authority (CA) pública.
Instancia dedicada: protocolos y números de puerto
Las siguientes tablas describen los puertos y protocolos que se admiten en la instancia dedicada. Los puertos que se utilizan para un cliente determinado dependen de la implementación y la solución del cliente. Los protocolos dependen de la preferencia del cliente (SCCP frente a SIP), los dispositivos en las instalaciones y el nivel de seguridad para determinar qué puertos se utilizarán en cada implementación.
 |
La instancia dedicada no permite la traducción de direcciones de red (NAT) entre los puntos finales y Unified CM , ya que algunas de las características del flujo de llamadas no funcionarán, por ejemplo , la característica de mitad de llamada. |
Instancia dedicada: puertos del cliente
Los puertos disponibles para los clientes, entre el Cliente en las instalaciones y la Instancia dedicada, se muestran en la Tabla 1. Puertos de cliente de instancia dedicada . Todos los puertos que se enumeran a continuación son para el tráfico de clientes que atraviesa los enlaces de emparejamiento.
|
El puerto SNMP solo es compatible con la funcionalidad CER y no con otras herramientas de supervisión de terceros. |
 |
Cisco reserva los puertos en el rango 5063 a 5080 para otras integraciones en la nube; se recomienda a los administradores de socios o clientes que no utilicen estos puertos en sus configuraciones. |
Protocolo |
TCP/UDP |
Origen |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
Aplicaciones de UC |
Mayor que 1023 |
22 |
Administración |
TFTP |
UDP |
Extremos |
Unified CM |
Mayor que 1023 |
69 |
Compatibilidad con endpoints heredados |
LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor que 1023 |
389 |
Sincronización de directorios con LDAP del cliente |
HTTPS |
TCP |
Explorador |
Aplicaciones de UC |
Mayor que 1023 |
443 |
Acceso Web para interfaces administrativas y de autocuidado |
Correo saliente (SEGURO) |
TCP |
Aplicación UC |
CUCxn |
Mayor que 1023 |
587 |
Se utiliza para redactar y enviar mensajes seguros a cualquier destinatario designado |
LDAP (SEGURO) |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor que 1023 |
636 |
Sincronización de directorios con LDAP del cliente |
H323 |
TCP |
Puerta de enlace |
Unified CM |
Mayor que 1023 |
1720 |
Señalización de llamada |
H323 |
TCP |
Unified CM |
Unified CM |
Mayor que 1023 |
1720 |
Señalización de llamada |
SCCP |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor que 1023 |
2000 |
Señalización de llamada |
SCCP |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor que 1023 |
2000 |
Señalización de llamada |
MGCP |
UDP |
Puerta de enlace |
Puerta de enlace |
Mayor que 1023 |
2427 |
Señalización de llamada |
MGCP Blackhaul |
TCP |
Puerta de enlace |
Unified CM |
Mayor que 1023 |
2428 |
Señalización de llamada |
SCCP (SEGURO) |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor que 1023 |
2443 |
Señalización de llamada |
SCCP (SEGURO) |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor que 1023 |
2443 |
Señalización de llamada |
Verificación de confianza |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
2445 |
Proporcionar un servicio de verificación de confianza a los puntos finales |
CTI |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
2748 |
Conexión entre aplicaciones CTI (JTAPI/ TSP) y CTIManager |
CTI seguro |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
2749 |
Conexión segura entre aplicaciones CTI (JTAPI/ TSP) y CTIManager |
Catálogo global LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor que 1023 |
3268 |
Sincronización de directorios con LDAP del cliente |
Catálogo global LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor que 1023 |
3269 |
Sincronización de directorios con LDAP del cliente |
Servicio CAPF |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
3804 |
Puerto de escucha de la función de proxy de la Certificate Authority (CAPF) para emitir certificados de importancia local (LSC) a los teléfonos IP |
SIP |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor que 1023 |
5060 |
Señalización de llamada |
SIP |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor que 1023 |
5060 |
Señalización de llamada |
SIP (SEGURO) |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
5061 |
Señalización de llamada |
SIP (SEGURO) |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor que 1023 |
5061 |
Señalización de llamada |
SIP (OAUTH) |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
5090 |
Señalización de llamada |
XMPP |
TCP |
Cliente de Jabber |
Cisco IM&P |
Mayor que 1023 |
5222 |
Mensajería instantánea y presencia |
HTTP |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
6970 |
Descarga de la configuración y las imágenes a los puntos finales |
HTTPS |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
6971 |
Descarga de la configuración y las imágenes a los puntos finales |
HTTPS |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
6972 |
Descarga de la configuración y las imágenes a los puntos finales |
HTTP |
TCP |
Cliente de Jabber |
CUCxn |
Mayor que 1023 |
7080 |
Notificaciones de correo de voz |
HTTPS |
TCP |
Cliente de Jabber |
CUCxn |
Mayor que 1023 |
7443 |
Notificaciones de correo de voz seguras |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mayor que 1023 |
7501 |
Utilizado por Intercluster Lookup Service (ILS) para la autenticación basada en certificados |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mayor que 1023 |
7502 |
Utilizado por ILS para la autenticación basada en contraseñas |
IMAP |
TCP |
Cliente de Jabber |
CUCxn |
Mayor que 1023 |
7993 |
IMAP sobre TLS |
HTTP |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
8080 |
URI de directorio para compatibilidad con endpoints heredados |
HTTPS |
TCP |
Navegador, Endpoint |
Aplicaciones de UC |
Mayor que 1023 |
8443 |
Acceso Web para interfaces administrativas y de autocuidado, UDS |
HTTPS |
TCP |
Teléfono |
Unified CM |
Mayor que 1023 |
9443 |
Búsqueda de contactos autenticados |
HTTPs |
TCP |
Extremos |
Unified CM |
Mayor que 1023 |
9444 |
Función de gestión de auriculares |
RTP/ SRTP |
UDP |
Unified CM |
Teléfono |
16384 a 32767 * |
16384 a 32767 * |
Medios (audio): Música en espera, anunciador, puente de conferencia de software (abierto según la señalización de llamadas) |
RTP/ SRTP |
UDP |
Teléfono |
Unified CM |
16384 a 32767 * |
16384 a 32767 * |
Medios (audio): Música en espera, anunciador, puente de conferencia de software (abierto según la señalización de llamadas) |
COBRAS |
TCP |
Cliente |
CUCxn |
Mayor que 1023 |
20532 |
Conjunto de aplicaciones de copia de seguridad y restauración |
ICMP |
ICMP |
Extremos |
Aplicaciones de UC |
n / a |
n / a |
Ping |
ICMP |
ICMP |
Aplicaciones de UC |
Extremos |
n / a |
n / a |
Ping |
* Ciertos casos especiales pueden usar un rango mayor. |
||||||
Instancia dedicada: puertos OTT
Los clientes y socios pueden utilizar el siguiente puerto para la configuración del Remote Access (MRA):
Protocolo |
TCP/ UCP |
Origen |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
|---|---|---|---|---|---|---|
SEGURO RTP/ RTCP |
UDP |
Autopista C |
Cliente |
Mayor que 1023 |
36000-59999 |
Medios seguros para llamadas MRA y B2B |
Instancia dedicada - Puertos UCCX
Los clientes y socios pueden utilizar la siguiente lista de puertos para configurar UCCX.
Protocolo |
TCP / UCP |
Origen |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
22 |
SFTP y SSH |
Informix |
TCP |
Cliente o servidor |
UCCX |
Mayor que 1023 |
1504 |
Puerto de base de datos Unified CCX |
SIP |
UDP y TCP |
Servidor SIP GW o MCRP |
UCCX |
Mayor que 1023 |
5065 |
Comunicación a nodos GW y MCRP remotos |
XMPP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
5223 |
Conexión segura XMPP entre el servidor Finesse y aplicaciones personalizadas de terceros |
CVD |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
6999 |
Editor de aplicaciones CCX |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
7443 |
Conexión segura de BOSH entre el servidor Finesse y los escritorios del agente y supervisor para la comunicación a través de HTTPS |
HTTP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8080 |
Los clientes de informes de datos en vivo se conectan al servidor socket.IO |
HTTP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8081 |
Explorador del cliente que intenta acceder a la interfaz de web de Cisco Unified Intelligence Center |
HTTP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8443 |
Admin GUI, RTCP, acceso a la base de datos a través de SOAP |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8444 |
interfaz de web de Cisco Unified Intelligence Center |
HTTPS |
TCP |
Clientes de navegador y REST |
UCCX |
Mayor que 1023 |
8445 |
Puerto seguro para Finesse |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8447 |
HTTPS: ayuda en línea de Unified Intelligence Center |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
8553 |
Los componentes de inicio de sesión único (SSO) acceden a esta interfaz para conocer el estado operativo de Cisco IdS. |
HTTP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
9080 |
Clientes que intentan acceder a desencadenadores HTTP o documentos / avisos / gramáticas / datos en directo. |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
9443 |
Puerto seguro utilizado para responder a los clientes que intentan acceder a los activadores HTTPS |
TCP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
12014 |
Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO |
TCP |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
12015 |
Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO |
CTI |
TCP |
Cliente |
UCCX |
Mayor que 1023 |
12028 |
Cliente CTI de terceros para CCX |
RTP(medios) |
TCP |
Extremos |
UCCX |
Mayor que 1023 |
Mayor que 1023 |
El puerto de medios se abre dinámicamente según sea necesario |
RTP(medios) |
TCP |
Cliente |
Extremos |
Mayor que 1023 |
Mayor que 1023 |
El puerto de medios se abre dinámicamente según sea necesario |
Seguridad del cliente
Protección de Jabber y Webex con SIP OAuth
Los clientes de Jabber y Webex se autentican a través de un token de OAuth en lugar de un certificado significativo localmente (LSC), que no requiere la habilitación de la certificate authority proxy function (CAPF) (también para MRA). SIP OAuth que funciona con o sin modo mixto se introdujo en Cisco Unified CM 12.5 (1), Jabber 12.5 y Expressway X12.5.
En Cisco Unified CM 12.5, tenemos una nueva opción en el perfil de seguridad del teléfono que permite el cifrado sin LSC/ CAPF, utilizando un solo token de Seguridad de la capa de transporte (TLS) + OAuth en el REGISTRO SIP . Los nodos de Expressway-C utilizan la API del servicio Web XML administrativo ( AXL ) para informar a Cisco Unified CM del SN / SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado Exp-C al establecer una conexión TLS mutua.
SIP OAuth permite el cifrado de señalización y medios sin un certificado de punto final (LSC).
Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de la conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.
Más detalles sobre la configuración de SIP OAuth: Modo SIP OAuth .
Requisitos de DNS
Para la instancia dedicada, Cisco proporciona el FQDN para el servicio en cada región con el siguiente formato<customer> .<region> .wxc-di.webex.com por ejemplo, xyz.amer.wxc-di.webex.com .
El valor de "cliente" lo proporciona el administrador como parte del Asistente de configuración inicial inicial (FTSW). Para obtener más información, consulte Activación del servicio de instancia dedicada .
Los registros DNS para este FQDN deben poder resolverse desde el servidor DNS interno del cliente para admitir dispositivos locales que se conecten a la instancia dedicada. Para facilitar la resolución, el cliente debe configurar un reenviador condicional, para este FQDN, en su servidor DNS que apunte al servicio DNS de instancia dedicada. El servicio DNS de la instancia dedicada es regional y se puede acceder a él, a través del emparejamiento con la instancia dedicada, utilizando las siguientes direcciones IP como se menciona en la siguiente tabla Dirección IP del servicio DNS de instancia dedicada .
Región / DC |
Dirección IP del servicio DNS de instancia dedicada | Ejemplo de reenvío condicional |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
Europa, Oriente Medio y África |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
Asia Pacífico, Japón y China |
<customer>.apjc.wxc-di.webex.com |
|
Pecado |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
La opción de ping está deshabilitada para las direcciones IP del servidor DNS mencionadas anteriormente por razones de seguridad. |
Hasta que se implemente el reenvío condicional, los dispositivos no podrán registrarse en la instancia dedicada desde la red interna del cliente a través de los enlaces de intercambio de tráfico. El reenvío condicional no es necesario para el registro a través de Mobile and Remote Access (MRA), ya que Cisco proporcionará previamente todos los registros DNS externos necesarios para facilitar la MRA.
Al utilizar la aplicación de Webex como su cliente de software de llamadas en una instancia dedicada, es necesario configurar un perfil de administrador de UC en Control Hub para el dominio de servicio de voz (VSD) de cada región. Para obtener más información, consulte Perfiles de UC Manager en Cisco Webex Control Hub . La aplicación de Webex podrá resolver automáticamente el Expressway Edge del cliente sin la intervención del usuario final .
|
El dominio del servicio de voz se proporcionará al cliente como parte del documento de acceso del socio una vez que se complete la activación del servicio. |
Referencias
Diseños de red de referencia de la solución de Cisco Collaboration 12.x (SRND), tema de seguridad: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Guía de seguridad para Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
