- Inicio
- /
- Artículo
Los requisitos de red y seguridad para la solución de Instancia Dedicada es el enfoque por capas de las características y funcionalidades que proporcionan acceso físico seguro, red, puntos finales y aplicaciones Cisco UC. Describe los requisitos de la red y enumera las direcciones, puertos y protocolos utilizados para conectar sus terminales a los servicios.
Requisitos de red para Dedicated Instance
Webex Calling Dedicated Instance forma parte de la cartera de llamadas en la nube de Cisco, impulsada por la tecnología de colaboración de Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance ofrece soluciones de voz, vídeo, mensajería y movilidad con las características y beneficios de los teléfonos IP, los dispositivos móviles y los clientes de escritorio de Cisco que se conectan de forma segura a la Dedicated Instance.
Este artículo está destinado a administradores de red, en particular administradores de firewall y de seguridad de proxy que desean utilizar Dedicated Instance dentro de su organización.
Descripción general de la seguridad: Seguridad en capas
La instancia dedicada utiliza un enfoque por capas para la seguridad. Las capas incluyen:
-
Acceso físico
-
Red
-
Extremos
-
Aplicaciones de UC
En las siguientes secciones se describen las capas de seguridad en las implementaciones de instancias dedicadas.
Seguridad física
Es importante proporcionar seguridad física a las ubicaciones de la sala Meet-Me de Equinix y a las instalaciones del centro de datos de Cisco Dedicated Instance. Cuando la seguridad física está comprometida, pueden iniciarse ataques sencillos, como la interrupción del servicio mediante el corte de la alimentación de los interruptores del cliente. Con el acceso físico, los agresores podían obtener acceso a los dispositivos del servidor, restablecer contraseñas y acceder a los switches. El acceso físico también facilita ataques más sofisticados, como los ataques de intermediario, razón por la cual la segunda capa de seguridad, la seguridad de la red, es esencial.
Las unidades de autocifrado se utilizan en los centros de datos de instancias dedicadas que alojan aplicaciones de UC.
Para obtener más información sobre las prácticas generales de seguridad, consulte la documentación en la siguiente ubicación: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Seguridad de la red
Los socios deben asegurarse de que todos los elementos de red están protegidos en la infraestructura de Dedicated Instance (que se conecta a través de Equinix). Es responsabilidad del partner garantizar las mejores prácticas de seguridad, tales como:
-
VLAN independiente para voz y datos
-
Habilite la seguridad de puertos que limita la cantidad de direcciones MAC permitidas por puerto, contra la inundación de tablas CAM
-
Protección de origen IP frente a direcciones IP falsificadas
-
Dynamic ARP Inspection (DAI) examina el protocolo de resolución de direcciones (ARP) y el ARP gratuito (GARP) por infracciones (contra la falsificación de ARP)
-
802.1x limita el acceso a la red para autenticar dispositivos en VLAN asignadas (los teléfonos admiten 802.1x)
-
Configuración de la calidad de servicio (QoS) para el marcado adecuado de los paquetes de voz
-
Configuraciones de puertos de firewall para bloquear cualquier otro tráfico
Seguridad de endpoints
Los endpoints de Cisco admiten funciones de seguridad predeterminadas, como firmware firmado, arranque seguro (modelos seleccionados), certificado instalado por el fabricante (MIC) y archivos de configuración firmados, que proporcionan un cierto nivel de seguridad para los endpoints.
Además, un partner o cliente puede habilitar seguridad adicional, como:
-
Cifrar los servicios telefónicos IP (a través de HTTPS) para servicios como Extension Mobility
-
Emitir certificados significativos localmente (LSC) de la función proxy de la autoridad de certificación (CAPF) o de una autoridad de certificación pública (CA)
-
Cifrar archivos de configuración
-
Cifrar medios y señales
-
Deshabilite esta configuración si no se utiliza: Puerto de PC, acceso VLAN de voz de PC, ARP gratuito, acceso web, botón de configuración, SSH, consola
La implementación de mecanismos de seguridad en Dedicated Instance evita el robo de identidad de los teléfonos y del servidor de Unified CM, la alteración de datos y la alteración de la señalización de llamadas/transmisión de medios.
Instancia dedicada a través de la red:
-
Establece y mantiene flujos de comunicación autenticados
-
Firma digitalmente archivos antes de transferir el archivo al teléfono
-
Cifra las transmisiones de medios y la señalización de llamadas entre teléfonos IP de Cisco Unified
La seguridad proporciona de manera predeterminada las siguientes funciones de seguridad automáticas para los teléfonos IP de Cisco Unified:
-
Firma de los archivos de configuración del teléfono
-
Soporte para el cifrado de archivos de configuración del teléfono
-
HTTPS con Tomcat y otros servicios web (MIDlets)
Para la versión 8.0 de Unified CM posterior, estas características de seguridad se proporcionan de manera predeterminada sin ejecutar el cliente de la Lista de certificados de confianza (CTL).
Servicio de verificación de confianzaDebido a que hay una gran cantidad de teléfonos en una red y los teléfonos IP tienen memoria limitada, Cisco Unified CM actúa como un almacén de confianza remoto a través del Servicio de verificación de confianza (TVS) para que no sea necesario colocar un almacén de confianza de certificados en cada teléfono. Los teléfonos IP de Cisco se comunican con el servidor TVS para la verificación porque no pueden verificar una firma o un certificado a través de archivos CTL o ITL. Tener un almacén de confianza central es más fácil de administrar que tener el almacén de confianza en cada teléfono IP de Cisco Unified.
TVS permite a los teléfonos IP Cisco Unified autenticar servidores de aplicaciones, como servicios de EM, directorio y MIDlet, durante el establecimiento de HTTPS.
Lista de confianza inicialEl archivo Lista de confianza inicial (ITL) se utiliza para la seguridad inicial, de modo que los endpoints puedan confiar en Cisco Unified CM. ITL no necesita que se habilite explícitamente ninguna característica de seguridad. El archivo ITL se crea automáticamente cuando se instala el clúster. La clave privada del servidor del Protocolo de transferencia de archivos trivial (TFTP) de Unified CM se utiliza para firmar el archivo ITL.
Cuando el servidor o grupo de Cisco Unified CM está en modo no seguro, el archivo ITL se descarga en todos los teléfonos IP de Cisco compatibles. Un socio puede ver el contenido de un archivo ITL mediante el comando CLI, admin:show itl.
Los teléfonos IP de Cisco necesitan el archivo ITL para realizar las siguientes tareas:
-
Comunicarse de forma segura con CAPF, un requisito previo para admitir el cifrado de archivos de configuración
-
Autenticar la firma del archivo de configuración
-
Autenticar servidores de aplicaciones, como servicios de EM, directorio y MIDlet durante el establecimiento de HTTPS mediante TVS
La autenticación de dispositivos, archivos y señales depende de la creación del archivo de lista de certificados de confianza (CTL), que se crea cuando el socio o cliente instala y configura el cliente de la lista de certificados de confianza de Cisco.
El archivo CTL contiene entradas para los siguientes servidores o tokens de seguridad:
-
Token de seguridad del administrador del sistema (SAST)
-
Servicios de Cisco CallManager y Cisco TFTP que se ejecutan en el mismo servidor
-
Función de proxy de la autoridad de certificación (CAPF)
-
Servidor(es) TFTP
-
Firewall ASA
El archivo CTL contiene un certificado de servidor, una clave pública, un número de serie, una firma, un nombre del emisor, un nombre de asunto, una función del servidor, un nombre DNS y una dirección IP para cada servidor.
La seguridad del teléfono con CTL proporciona las siguientes funciones:
-
Autenticación de archivos descargados TFTP (configuración, configuración regional, lista de timbres, etc.) mediante una clave de firma
-
Cifrado de archivos de configuración TFTP mediante una clave de firma
-
Señalización de llamadas cifrada para teléfonos IP
-
Audio (medios) de llamada cifrada para teléfonos IP
Dedicated Instance proporciona registro de extremos y procesamiento de llamadas. La señalización entre Cisco Unified CM y los extremos se basa en Secure Skinny Client Control Protocol (SCCP) o Session Initiation Protocol (SIP) y se puede cifrar mediante Transport Layer Security (TLS). Los medios desde/hacia los extremos se basan en el protocolo de transporte en tiempo real (RTP) y también se pueden cifrar mediante RTP seguro (SRTP).
La habilitación del modo mixto en Unified CM permite el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.
Proteger las aplicaciones de UC
Activación del modo mixto en la instancia exclusivaEl modo mixto está habilitado de manera predeterminada en Dedicated Instance.
La habilitación del modo mixto en Dedicated Instance permite realizar el cifrado del tráfico de señales y medios desde y hacia los extremos de Cisco.
En Cisco Unified CM versión 12.5(1), se agregó una nueva opción para habilitar el cifrado de señales y medios basados en SIP OAuth en lugar del modo mixto/CTL para los clientes de Jabber y Webex. Por lo tanto, en la versión 12.5(1) de Unified CM, se pueden utilizar SIP OAuth y SRTP para habilitar el cifrado de señales y medios para los clientes de Jabber o Webex. En este momento sigue siendo necesario habilitar el modo mixto para los teléfonos IP de Cisco y otros extremos de Cisco. Existe un plan para agregar compatibilidad con SIP OAuth en extremos 7800/8800 en una versión futura.
Seguridad de mensajería de vozCisco Unity Connection se conecta a Unified CM a través del puerto TLS. Cuando el modo de seguridad del dispositivo no es seguro, Cisco Unity Connection se conecta a Unified CM a través del puerto SCCP.
Para configurar la seguridad para los puertos de mensajería de voz de Unified CM y los dispositivos de Cisco Unity que ejecutan SCCP o dispositivos de Cisco Unity Connection que ejecutan SCCP, un socio puede elegir un modo de seguridad de dispositivo seguro para el puerto. Si elige un puerto de correo de voz autenticado, se abre una conexión TLS, que autentica los dispositivos mediante un intercambio de certificados mutuos (cada dispositivo acepta el certificado del otro dispositivo). Si elige un puerto de correo de voz cifrado, el sistema primero autentica los dispositivos y luego envía flujos de voz cifrados entre los dispositivos.
Para obtener más información sobre los puertos de mensajería de voz de seguridad, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Seguridad para SRST, enlaces troncales, puertas de enlace, CUBE/SBC
Una puerta de enlace habilitada para telefonía de sitio remoto sobreviviente (SRST) de Cisco Unified proporciona tareas limitadas de procesamiento de llamadas si Cisco Unified CM en Dedicated Instance no puede completar la llamada.
Los gateways seguros habilitados para SRST contienen un certificado de firma automática. Después de que un socio realice tareas de configuración de SRST en la Administración de Unified CM, Unified CM utiliza una conexión TLS para autenticarse con el servicio del proveedor de certificados en la puerta de enlace habilitada para SRST. A continuación, Unified CM recupera el certificado de la puerta de enlace habilitada para SRST y agrega el certificado a la base de datos de Unified CM.
Después de que el socio restablezca los dispositivos dependientes en la Administración de Unified CM, el servidor TFTP agrega el certificado de puerta de enlace habilitado para SRST al archivo cnf.xml del teléfono y envía el archivo al teléfono. Luego, un teléfono seguro utiliza una conexión TLS para interactuar con la puerta de enlace habilitada para SRST.
Se recomienda tener enlaces troncales seguros para la llamada que se origina desde Cisco Unified CM a la puerta de enlace para llamadas PSTN salientes o atravesar el Cisco Unified Border Element (CUBE).
Los enlaces troncales de SIP pueden admitir llamadas seguras tanto para señalización como para medios; TLS proporciona cifrado de señalización y SRTP proporciona cifrado de medios.
Protección de las comunicaciones entre Cisco Unified CM y CUBE
Para que las comunicaciones sean seguras entre Cisco Unified CM y CUBE, los socios/clientes deben utilizar certificados de firma automática o certificados firmados por una CA.
Para certificados de firma automática:
-
CUBE y Cisco Unified CM generan certificados de firma automática
-
CUBE exporta certificado a Cisco Unified CM
-
Cisco Unified CM exporta certificado a CUBE
Para certificados firmados por una autoridad de certificación:
-
El cliente genera un par de claves y envía una solicitud de firma de certificado (CSR) a la autoridad de certificación (CA)
-
La CA lo firma con su clave privada, creando un certificado de identidad
-
El cliente instala la lista de certificados raíz e intermediario de CA de confianza y el certificado de identidad
Seguridad para endpoints remotos
Con los extremos de Mobile and Remote Access (MRA), la señalización y los medios siempre están cifrados entre los extremos de MRA y los nodos de Expressway. Si se utiliza el protocolo Interactive Connectivity Establishment (ICE) para los extremos de MRA, se requiere el cifrado de señales y medios de los extremos de MRA. Sin embargo, el cifrado de la señalización y los medios entre Expressway-C y los servidores internos de Unified CM, los extremos internos u otros dispositivos internos requiere el modo mixto o SIP OAuth.
Cisco Expressway proporciona soporte transversal seguro de firewall y del lado de la línea para las inscripciones de Unified CM. Unified CM proporciona control de llamadas para extremos móviles y locales. La señalización atraviesa la solución de Expressway entre el extremo remoto y Unified CM. Los medios atraviesan la solución de Expressway y se transmiten directamente entre los extremos. Todos los medios están cifrados entre el Expressway-C y el extremo móvil.
Cualquier solución de MRA requiere Expressway y Unified CM, con clientes de software compatibles con MRA o extremos fijos. La solución puede incluir opcionalmente el servicio de MI y presencia y Unity Connection.
Resumen del protocolo
En la siguiente tabla, se muestran los protocolos y los servicios asociados utilizados en la solución de Unified CM.
Protocolo |
Seguridad |
Servicio |
---|---|---|
SIP |
TLS |
Establecimiento de la sesión: Inscribirse, Invitar, etc. |
HTTPS |
TLS |
Inicio de sesión, Aprovisionamiento/Configuración, Directorio, Correo de voz visual |
Medios |
SRTP |
Medios de comunicación: Uso compartido de contenido, audio, vídeo |
XMPP |
TLS |
Mensajería instantánea, presencia, federación |
Para obtener más información sobre la configuración de MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opciones de configuración
La instancia dedicada ofrece al partner flexibilidad para personalizar los servicios para los usuarios finales mediante el control total de las configuraciones del segundo día. En consecuencia, el socio es el único responsable de la configuración adecuada del servicio de instancia dedicada para el entorno del usuario final. Esto incluye, entre otras cosas:
-
Elegir llamadas seguras/no seguras, protocolos seguros/no seguros como SIP/sSIP, http/https, etc. y comprender los riesgos asociados.
-
Para todas las direcciones MAC no configuradas como SIP seguro en Dedicated Instance, un atacante puede enviar un mensaje de registro SIP utilizando esa dirección MAC y realizar llamadas SIP, lo que da lugar a un fraude telefónico. El problema es que el atacante puede registrar su dispositivo/software SIP en Dedicated Instance sin autorización si conoce la dirección MAC de un dispositivo registrado en Dedicated Instance.
-
Las políticas de llamadas de Expressway-E, las reglas de transformación y búsqueda deben configurarse para prevenir el fraude telefónico. Para obtener más información sobre la prevención del fraude telefónico con Expressway, consulte la sección Seguridad para Expressway C y Expressway-E de Collaboration SRND.
-
Configuración del plan de marcado para garantizar que los usuarios solo puedan marcar destinos permitidos, por ejemplo, prohibir el marcado nacional/internacional, las llamadas de emergencia se enruten correctamente, etc. Para obtener más información sobre la aplicación de restricciones mediante el plan de marcado, consulte la sección Plan de marcado de Collaboration SRND.
Requisitos de certificado para conexiones seguras en Dedicated Instance
Para la instancia exclusiva, Cisco proporcionará el dominio y firmará todos los certificados para las aplicaciones de UC mediante una autoridad de certificación (CA) pública.
Instancia exclusiva: números de puerto y protocolos
En las siguientes tablas se describen los puertos y protocolos que son compatibles con Dedicated Instance. Los puertos que se utilizan para un cliente determinado dependen de la implementación y la solución del cliente. Los protocolos dependen de las preferencias del cliente (SCCP frente a SIP), de los dispositivos locales existentes y del nivel de seguridad para determinar qué puertos se utilizarán en cada implementación.
La instancia exclusiva no permite la traducción de direcciones de red (NAT) entre extremos y Unified CM, ya que algunas de las características de flujo de llamadas no funcionarán, por ejemplo, la característica de mitad de llamada. |
Instancia exclusiva: puertos del cliente
Los puertos disponibles para los clientes, entre la instancia local del cliente y la instancia dedicada, se muestran en la Tabla 1 Puertos de cliente de la instancia dedicada. Todos los puertos listados a continuación son para el tráfico de clientes que atraviesa los enlaces de emparejamiento.
El puerto SNMP está abierto de manera predeterminada solo para que Cisco Emergency Responder admita su funcionalidad. Como no proporcionamos soporte para socios o clientes que supervisan las aplicaciones de UC implementadas en la nube de Dedicated Instance, no permitimos la apertura del puerto SNMP para ninguna otra aplicación de UC. |
Cisco reserva los puertos del rango 5063 a 5080 para otras integraciones en la nube; se recomienda a los administradores de socios o clientes que no utilicen estos puertos en sus configuraciones. |
Protocolo |
TCP/UDP |
Fuente |
Destino |
Puerto de origen |
Puerto de destino |
Propósito | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
Aplicaciones de UC
|
Mayor de 1023 |
22 |
Administración |
||
TFTP |
UDP |
Extremos |
Unified CM |
Mayor de 1023 |
69 |
Soporte para endpoints heredado |
||
LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor de 1023 |
389 |
Sincronización de directorios con el LDAP del cliente |
||
HTTPS |
TCP |
Explorador |
Aplicaciones de UC |
Mayor de 1023 |
443 |
Acceso web para interfaces administrativas y de autocuidado |
||
Correo saliente (SEGURO) |
TCP |
Aplicación UC |
CUCxn |
Mayor de 1023 |
587 |
Se utiliza para redactar y enviar mensajes seguros a cualquier destinatario designado |
||
LDAP (SEGURO) |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor de 1023 |
636 |
Sincronización de directorios con el LDAP del cliente |
||
H323 |
TCP |
Puerta de enlace |
Unified CM |
Mayor de 1023 |
1720 |
Señalización de llamadas |
||
H323 |
TCP |
Unified CM |
Unified CM |
Mayor de 1023 |
1720 |
Señalización de llamadas |
||
PCCC |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor de 1023 |
2000 |
Señalización de llamadas |
||
PCCC |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor de 1023 |
2000 |
Señalización de llamadas |
||
MGCP |
UDP |
Puerta de enlace |
Puerta de enlace |
Mayor de 1023 |
2427 |
Señalización de llamadas |
||
Backhaul de MGCP |
TCP |
Puerta de enlace |
Unified CM |
Mayor de 1023 |
2428 |
Señalización de llamadas |
||
PCCC (SEGURO) |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor de 1023 |
2443 |
Señalización de llamadas |
||
PCCC (SEGURO) |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor de 1023 |
2443 |
Señalización de llamadas |
||
Verificación de confianza |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
2445 |
Prestación de un servicio de verificación de la confianza a los endpoints |
||
CTI |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
2748 |
Conexión entre aplicaciones CTI (JTAPI/TSP) y CTIManager |
||
CTI segura |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
2749 |
Conexión segura entre aplicaciones CTI (JTAPI/TSP) y CTIManager |
||
Catálogo global de LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor de 1023 |
3268 |
Sincronización de directorios con el LDAP del cliente |
||
Catálogo global de LDAP |
TCP |
Aplicaciones de UC |
Directorio externo |
Mayor de 1023 |
3269 |
Sincronización de directorios con el LDAP del cliente |
||
Servicio CAPF |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
3804 |
Puerto de escucha de la función de proxy de la autoridad de certificación (CAPF) para emitir certificados significativos localmente (LSC) a teléfonos IP |
||
SIP |
TCP |
Extremos |
Unified CM, CUCxn |
Mayor de 1023 |
5060 |
Señalización de llamadas |
||
SIP |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor de 1023 |
5060 |
Señalización de llamadas |
||
SIP (SEGURO) |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
5061 |
Señalización de llamadas |
||
SIP (SEGURO) |
TCP |
Unified CM |
Unified CM, puerta de enlace |
Mayor de 1023 |
5061 |
Señalización de llamadas |
||
SIP (OAUTH) |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
5090 |
Señalización de llamadas |
||
XMPP |
TCP |
Cliente de Jabber |
IM&P de Cisco |
Mayor de 1023 |
5222 |
Mensajería instantánea y presencia |
||
HTTP |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
6970 |
Descarga de la configuración y las imágenes en los endpoints |
||
HTTPS |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
6971 |
Descarga de la configuración y las imágenes en los endpoints |
||
HTTPS |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
6972 |
Descarga de la configuración y las imágenes en los endpoints |
||
HTTP |
TCP |
Cliente de Jabber |
CUCxn |
Mayor de 1023 |
7080 |
Notificaciones del correo de voz |
||
HTTPS |
TCP |
Cliente de Jabber |
CUCxn |
Mayor de 1023 |
7443 |
Notificaciones seguras del correo de voz |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Mayor de 1023 |
7501 |
Utilizada por Intercluster Lookup Service (ILS) para la autenticación basada en certificados |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Mayor de 1023 |
7502 |
Utilizada por ILS para la autenticación basada en contraseñas |
||
IMAP |
TCP |
Cliente de Jabber |
CUCxn |
Mayor de 1023 |
7993 |
IMAP sobre TLS |
||
HTTP |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
8080 |
URI de directorio para soporte de extremos heredados |
||
HTTPS |
TCP |
Navegador, extremo |
Aplicaciones de UC |
Mayor de 1023 |
8443 |
Acceso web para interfaces administrativas y de autocuidado, UDS |
||
HTTPS |
TCP |
Teléfono |
Unified CM |
Mayor de 1023 |
9443 |
Búsqueda de contactos autenticados |
||
HTTP |
TCP |
Extremos |
Unified CM |
Mayor de 1023 |
9444 |
Función de administración de auriculares |
||
RTP/SRTP seguro |
UDP |
Unified CM |
Teléfono |
16384 a 32767 * |
16384 a 32767 * |
Medios (audio): música en espera, anunciador, puente de conferencia de software (abierto en función de la señalización de llamadas) |
||
RTP/SRTP seguro |
UDP |
Teléfono |
Unified CM |
16384 a 32767 * |
16384 a 32767 * |
Medios (audio): música en espera, anunciador, puente de conferencia de software (abierto en función de la señalización de llamadas) |
||
COBRAS |
TCP |
Cliente |
CUCxn |
Mayor de 1023 |
20532 |
Copia de seguridad y restauración del conjunto de aplicaciones |
||
ICMP |
ICMP |
Extremos |
Aplicaciones de UC |
No disponible |
No disponible |
Ping |
||
ICMP |
ICMP |
Aplicaciones de UC |
Extremos |
No disponible |
No disponible |
Ping |
||
DNS | UDP y TCP |
reenvío de DNS |
Servidores DNS de instancias dedicadas |
Mayor de 1023 |
53 |
Redireccionadores de DNS local del cliente a servidores DNS de instancias dedicadas. Consulte Requisitos de DNS para obtener más información. |
||
* Algunos casos especiales pueden utilizar un rango mayor. |
Instancia dedicada: puertos OTT
Los clientes y socios pueden utilizar el siguiente puerto para la configuración de Mobile and Remote Access (MRA):
Protocolo |
TCP/UCP |
Fuente |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
---|---|---|---|---|---|---|
RTP/RTCP SEGURO |
UDP |
Expressway C |
Cliente |
Mayor de 1023 |
36000-59999 |
Medios seguros para llamadas MRA y B2B |
Enlace troncal SIP inter-op entre Multi-tenancy y Dedicated Instance (solo para el enlace troncal basado en el registro)
Se debe permitir la siguiente lista de puertos en el firewall del cliente para el enlace troncal SIP basado en el registro que se conecta entre la instancia multiinquilino y la instancia dedicada.
Protocolo |
TCP/UCP |
Fuente |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multiinquilino de Webex Calling |
Cliente |
Mayor de 1023 |
8000-48198 |
Multimedia de Webex Calling Multitenant |
Instancia dedicada: puertos UCCX
Los clientes y socios pueden utilizar la siguiente lista de puertos para configurar UCCX.
Protocolo |
TCP/UCP |
Fuente |
Destino |
Puerto de origen |
Puerto de destino |
Propósito |
---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
22 |
SFTP y SSH |
Informix |
TCP |
Cliente o servidor |
UCCX |
Mayor de 1023 |
1504 |
Puerto de base de datos de Contact Center Express |
SIP |
UDP y TCP |
Servidor SIP GW o MCRP |
UCCX |
Mayor de 1023 |
5065 |
Comunicación a nodos GW y MCRP remotos |
XMPP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
5223 |
Conexión XMPP segura entre el servidor Finesse y aplicaciones personalizadas de terceros |
ECV |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
6999 |
Editor a aplicaciones CCX |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
7443 |
Conexión BOSH segura entre el servidor de Finesse y los escritorios de agente y supervisor para la comunicación a través de HTTPS |
HTTP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8080 |
Los clientes de informes de datos en vivo se conectan a un servidor socket.IO |
HTTP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8081 |
Navegador del cliente que intenta acceder a la interfaz web del Centro de inteligencia de Cisco Unified |
HTTP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8443 |
Acceso a GUI de administración, RTMT, base de datos a través de SOAP |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8444 |
Interfaz web del Centro de inteligencia de Cisco Unified |
HTTPS |
TCP |
Exploradores y clientes REST |
UCCX |
Mayor de 1023 |
8445 |
Puerto seguro para Finesse |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8447 |
HTTPS: ayuda en línea del Centro de inteligencia de Unified |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
8553 |
Los componentes del inicio de sesión único (SSO) acceden a esta interfaz para conocer el estado operativo del IdS de Cisco. |
HTTP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
9080 |
Clientes que intentan acceder a activadores o documentos HTTP / mensajes / gramáticas / datos en vivo. |
HTTPS |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
9443 |
Puerto seguro utilizado para responder a los clientes que intentan acceder a activadores HTTPS |
TCP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
12014 |
Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO |
TCP |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
12015 |
Este es el puerto donde los clientes de informes de datos en vivo pueden conectarse al servidor socket.IO |
CTI |
TCP |
Cliente |
UCCX |
Mayor de 1023 |
12028 |
Cliente CTI de terceros a CCX |
RTP (medios) |
TCP |
Extremos |
UCCX |
Mayor de 1023 |
Mayor de 1023 |
El puerto multimedia se abre dinámicamente según sea necesario |
RTP (medios) |
TCP |
Cliente |
Extremos |
Mayor de 1023 |
Mayor de 1023 |
El puerto multimedia se abre dinámicamente según sea necesario |
Seguridad del cliente
Protección de Jabber y Webex con SIP OAuth
Los clientes de Jabber y Webex se autentican a través de un token de autenticación abierta (OAuth) en lugar de un certificado significativo localmente (LSC), que no requiere habilitación de la función de proxy de autoridad de certificación (CAPF) (también para MRA). Se introdujo SIP OAuth que funciona con o sin modo mixto en Cisco Unified CM 12.5(1), Jabber 12.5 y Expressway X12.5.
En Cisco Unified CM 12.5, tenemos una nueva opción en el perfil de seguridad del teléfono que habilita el cifrado sin LSC/CAPF mediante el uso de una sola Seguridad de la capa de transporte (TLS) + OAuth token en SIP REGISTER. Los nodos de Expressway-C utilizan la API del servicio web XML administrativo (AXL) para informar a Cisco Unified CM del SN/SAN en su certificado. Cisco Unified CM utiliza esta información para validar el certificado Exp-C al establecer una conexión de TLS mutuo.
SIP OAuth habilita el cifrado de señales y medios sin un certificado de extremo (LSC).
Cisco Jabber utiliza puertos efímeros y puertos seguros 6971 y 6972 a través de conexión HTTPS al servidor TFTP para descargar los archivos de configuración. El puerto 6970 es un puerto no seguro para descargar a través de HTTP.
Más detalles sobre la configuración de SIP OAuth: Modo SIP OAuth.
Requisitos de DNS
Para la instancia exclusiva, Cisco proporciona el FQDN para el servicio en cada región con el siguiente formato <customer>.<region>.wxc-di.webex.com por ejemplo, xyz.amer.wxc-di.webex.com.
El administrador proporciona el valor "cliente" como parte del Asistente de configuración inicial (FTSW). Para obtener más información, consulte Activación del servicio de instancia dedicada.
Los registros DNS para este FQDN deben poder resolverse desde el servidor DNS interno del cliente para admitir dispositivos locales que se conecten a la instancia dedicada. Para facilitar la resolución, el cliente debe configurar un reenviador condicional, para este FQDN, en su servidor DNS que apunte al servicio DNS de instancia exclusiva. El servicio DNS de instancia dedicada es regional y se puede acceder a él, a través del emparejamiento con la instancia dedicada, utilizando las siguientes direcciones IP, como se menciona en la siguiente tabla Dirección IP del servicio DNS de instancia dedicada.
Región/CC | Dirección IP del servicio DNS de instancia exclusiva |
Ejemplo de reenvío condicional |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
RAI |
69 168 17 100 |
|
DFW |
69.168.17.228 |
|
Europa, Oriente Medio y África |
<customer>.emea.wxc-di.webex.com |
|
LON |
178 215 138 100 |
|
AMS |
178 215 138 228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103 232 71 100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178 215 128 100 |
|
SYD |
178 215 128 228 |
La opción ping está deshabilitada para las direcciones IP del servidor DNS mencionadas anteriormente por razones de seguridad. |
Hasta que no se aplique el reenvío condicional, los dispositivos no podrán registrarse en la instancia exclusiva desde la red interna de los clientes a través de los enlaces de emparejamiento. No se requiere el reenvío condicional para la inscripción a través de acceso móvil y remoto (MRA), ya que Cisco aprovisionará previamente todos los registros DNS externos necesarios para facilitar la MRA.
Al utilizar la aplicación Webex como su cliente de software de llamadas en Dedicated Instance, se debe configurar un perfil de administrador de UC en Control Hub para el dominio de servicio de voz (VSD) de cada región. Para obtener más información, consulte Perfiles de administrador de UC en Cisco Webex Control Hub. La aplicación de Webex podrá resolver automáticamente el Expressway Edge del cliente sin ninguna intervención del usuario final.
El dominio de servicio de voz se proporcionará al cliente como parte del documento de acceso del socio una vez finalizada la activación del servicio. |
Usar un enrutador local para la resolución de DNS del teléfono
En el caso de los teléfonos que no tienen acceso a los servidores DNS corporativos, es posible utilizar un enrutador local de Cisco para reenviar solicitudes de DNS al DNS en la nube de Dedicated Instance. Esto elimina la necesidad de implementar un servidor DNS local y proporciona soporte completo de DNS, incluido el almacenamiento en caché.
Ejemplo de configuración :
!
servidor ip dns
servidor de nombre ip <IP DC1 Servidor DNS DI> <IP DC2 Servidor DNS DI>
!
El uso de DNS en este modelo de implementación es específico para teléfonos y solo se puede utilizar para resolver FQDN con el dominio desde la instancia dedicada del cliente. |
Referencias
-
Diseños de red de referencia de soluciones (SRND) de Cisco Collaboration 12.x, tema de seguridad: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Guía de seguridad para Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html