- Etusivu
- /
- Artikkeli
Webex Callingin turvallisuusvaatimukset
Tämä artikkeli on tarkoitettu verkon ylläpitäjille, erityisesti palomuurin ja välityspalvelimen suojauksen ylläpitäjille, jotka haluavat käyttää Webex Calling -palvelua organisaatiossaan.
Jos haluat tietää porttiviitetiedot palomuuri- ja käyttöoikeusvaatimuksia varten, katso Port Reference Information for Cisco Webex Calling.
Loppupisteitä koskevat vaatimukset
Webex Calling Edge
Suorita SIP-rekisteröinti tai -puhelu suorittamalla seuraavat vaiheet:
-
Selvitä aktiivisten Edge-solmujen SIP-päätepisteen isäntäosoite.
-
Suorita kaikki käyttäjän ja laitteen määritykseen liittyvät ennakkoehdot.
-
Varmista, että päätepisteellä on julkinen verkkoyhteys, jotta palvelun etsiminen voidaan aloittaa.
-
Täytä päätepisteen käynnistyksen edellytykset alue- tai datakeskuskohtaisella käyttöönottoasetuksella. Tämä määritys auttaa saamaan asiaankuuluvan verkkotunnuksen päätteen palveluhakua varten.
IPv4 vs. IPv6
Laitteet voivat toimia yksiversio- tai kaksoispinoamistilassa. Suositeltavan protokollan muutokset määräytyvät konfiguroinnin perusteella, eivätkä nämä muutokset ole osa palveluhakua.
-
Single-stack-tila - ottaa käyttöön vain yhden IP-protokollan (esimerkiksi IPv4) ja jättää muut protokollaosoitteet huomiotta.
-
Dual-stack-tila - valitsee ensisijaisen IP-version konfiguroinnin avulla.
Asiakas pitää kaikkien ensisijaisten osoitteiden prioriteettia alhaisempana (eli ensisijaisena) kuin kaikkien IP-osoitteiden prioriteettia. Jos IPv4 on ensisijainen, kaikkia IPv4-osoitteita yritetään käyttää ennen IPv6-osoitteen yrittämistä. Jos kaikki osoitteet epäonnistuvat, sykli alkaa uudelleen alhaisimman prioriteetin ensisijaisesta protokollaosoitteesta.
Mobiiliasiakas, joka rekisteröityy push-ilmoituksen saatuaan, voi päättää optimoida tilan aiempien rekisteröintien perusteella.
Isäntäosoitteen resoluutio DNS SRV-osoitteesta
Käyttöönotosta saadussa päätepisteen konfigurointitiedostossa toimialue-ilmaisin määrittää toimialueen nimen, jonka perusteella reunapalvelu löydetään. Esimerkki verkkotunnuksesta on:
wxc.edge.bcld.webex.com
Esimerkin perusteella päätepiste, joka suorittaa DNS SRV -hakua tälle verkkotunnukselle, voi saada seuraavan kaltaisen vastauksen:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
Tässä tapauksessa SRV-tietue osoittaa 3 A-tietueeseen.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
Esimerkissä kaikille isännille mainostetaan yhteydenottoa porttiin 5061 eri painolla ja prioriteetilla.
Ota huomioon nämä päätepisteitä koskevat vaatimukset.
-
Päätepisteen on käytettävä
_sips._tcp
(palvelun ja protokollan yhdistelmä) etuliitettä DNS SRV -hakua varten saadakseen isäntäosoitteen TLS-pohjaisen viestinnän aloittamista varten. -
Päätepisteen on suoritettava DNS SRV -hakutoiminto DNS SRV -osoitteesta isäntäosoitteen määrittäminen -osiossa selostettujen ehtojen mukaisesti.
-
Päätepisteen on kunnioitettava hostia, porttia, painoa ja prioriteettia, jotka mainostetaan kullekin host-osoitteelle. Lisäksi sen on luotava isäntäportin ja portin välinen yhteys, kun se luo socket-yhteyttä SIP-rekisteröinnin aikana.
-
DNS SRV-tietueen käytön osalta isäntien valintakriteerit prioriteetin ja painon perusteella selitetään RFC 2782:ssa.
SIP:n ja median vaatimukset
Vaatimus |
Kuvaus |
---|---|
Julkisen avaimen salaukseen tarvittava luotettavuusvarmenne |
Lisätietoja Webex-varmenteiden allekirjoitusviranomaisesta ja laitteisiin vaadittavasta Root CA:sta on osoitteessa artikkelissa. |
TLS-versio, jota tuetaan suojatussa SIP:ssä |
TLS 1.2 |
TLS-salauksia tuetaan turvalliseen SIP:iin |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
SRTP-avaimet tuetaan suojattua mediaa varten |
AES_CM_128_HMAC_SHA1_80 |
Turvallisen SIP:n vaatimukset mTLS:llä (keskinäinen TLS)
Vaatimukset selitetään yksityiskohtaisesti tässä.
Allekirjoitettu varmenne tarvitaan, jotta puhelujen valtuutus ja todennus onnistuu runkoverkosta. Todistuksen on täytettävä seuraavat vaatimukset:
-
Varmenteen on oltava osoitteessa mainitun varmentajan allekirjoittama. Mitä juurivarmenteiden myöntäjiä tuetaan puheluissa Cisco Webexin audio- ja videoalustoille?
-
Lataa osoitteessa What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms?mainittu luottamuspaketti CUBEen.
-
Varmenteen on oltava aina voimassa:
-
Allekirjoitetuilla varmenteilla on aina oltava voimassa oleva voimassaoloaika.
-
Juuri- tai välivarmenteilla on oltava voimassaoloaika, eikä niitä saa peruuttaa.
-
Varmenteet on allekirjoitettava asiakkaan ja palvelimen käyttöä varten.
-
Varmenteiden on sisällettävä FQDN (Fully Qualified Domain Name) yleisenä nimenä tai varmenteen aiheen vaihtoehtoisina niminä, ja FQDN on valittava Control Hubissa. Esimerkiksi:
-
Organisaatiosi ohjauskeskuksesta konfiguroidun runkoverkon, jonka FQDN on london.lgw.cisco.com:5061, on sisällettävä varmenteen CN- tai SAN-osassa london.lgw.cisco.com.
-
Organisaatiosi ohjauskeskuksesta konfiguroidun runkoverkon, jonka SRV-osoite on london.lgw.cisco.com, on sisällettävä london.lgw.cisco.com varmenteen CN- tai SAN-osoitteessa. Tietueet, joihin SRV-osoite ratkaisee (CNAME/A-tietue/IP-osoite), ovat SAN:ssa valinnaisia.
-
-
Voit jakaa varmenteita useamman kuin yhden paikallisen yhdyskäytävän kanssa, mutta varmista, että FQDN-vaatimukset täyttyvät.
-
Toiminnan ulkopuolelle
Tämä artikkeli ei sisällä seuraavia verkkoturvallisuuteen liittyviä tietoja:
-
F5:n vaatimukset CA:lle ja salakirjoituksille
-
HTTP-pohjainen API Webexin palomuurisääntöjen lataamiseen.
-
API luottamuspakettia varten
-
Palomuurivaatimus ja ALG:n poistaminen käytöstä