- Etusivu
- /
- Artikkeli
Omistetun instanssin verkko- ja turvallisuusvaatimukset
Dedicated Instance -ratkaisun verkko- ja tietoturvavaatimukset ovat monikerroksinen lähestymistapa ominaisuuksiin ja toimintoihin, jotka tarjoavat turvallisen fyysisen pääsyn, verkon, päätelaitteiden ja Cisco UC -sovellusten. Siinä kuvataan verkkovaatimukset ja luetellaan osoitteet, portit ja protokollat, joita käytetään päätepisteiden yhdistämiseen palveluihin.
Dedikoidun instanssin verkkovaatimukset
Webex Calling Dedicated Instance on osa Ciscon Cloud Calling -valikoimaa, joka perustuu Cisco Unified Communications Manager (Cisco Unified CM) -yhteistyöteknologiaan. Dedicated Instance tarjoaa ääni-, video-, viesti- ja liikkuvuusratkaisuja, joissa on Ciscon IP-puhelinten, mobiililaitteiden ja työpöytäasiakkaiden ominaisuuksia ja etuja, jotka muodostavat turvallisen yhteyden Dedicated Instanceen.
Tämä artikkeli on tarkoitettu verkon ylläpitäjille, erityisesti palomuurin ja välityspalvelimen tietoturvan ylläpitäjille, jotka haluavat käyttää Dedicated Instancea organisaatiossaan.
Turvallisuuskatsaus: Turvallisuus kerroksittain
Dedicated Instance käyttää monikerroksista lähestymistapaa tietoturvaan. Kerroksiin kuuluvat:
-
Fyysinen pääsy
-
Verkko
-
Päätepisteet
-
UC-sovellukset
Seuraavissa osioissa kuvataan Dedicated Instance -käyttöönottojen tietoturvakerrokset.
Fyysinen turvallisuus
Equinix Meet-Me Room -tilojen ja Ciscon Dedicated Instance -tietokeskusten fyysisen turvallisuuden varmistaminen on tärkeää. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeyttäminen katkaisemalla asiakkaan kytkimien virta. Fyysisen pääsyn avulla hyökkääjät voivat päästä käsiksi palvelinlaitteisiin, nollata salasanoja ja päästä käsiksi kytkimiin. Fyysinen pääsy helpottaa myös kehittyneempiä hyökkäyksiä, kuten välikäsien välityksellä tapahtuvia hyökkäyksiä, minkä vuoksi toinen turvakerros, verkkoturvallisuus, on ratkaisevan tärkeä.
Itsekoodaavia asemia käytetään Dedicated Instance -tietokeskuksissa, joissa on UC-sovelluksia.
Lisätietoja yleisistä turvallisuuskäytännöistä on dokumentaatiossa seuraavassa osoitteessa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Verkon turvallisuus
Kumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka on yhteydessä Equinixin kautta). Kumppanin vastuulla on varmistaa parhaat turvallisuuskäytännöt, kuten:
-
Erillinen VLAN puheelle ja datalle
-
Ota käyttöön porttisuojaus, joka rajoittaa porttikohtaisesti sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimisen estämiseksi.
-
IP Source Guard väärennettyjä IP-osoitteita vastaan
-
Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenmääritysprotokollan (ARP) ja tarpeettoman ARP:n (GARP) rikkomukset (ARP-väärennöksiä vastaan).
-
802.1x rajoittaa verkkoon pääsyn vain niille laitteille, jotka ovat tunnistautuneet määritettyihin VLAN-verkkotunnuksiin (puhelimet tukevat 802.1x).
-
Palvelun laadun (QoS) määrittäminen puhepakettien asianmukaista merkitsemistä varten.
-
Palomuurin porttimääritykset muun liikenteen estämiseksi.
Loppupisteiden turvallisuus
Ciscon päätelaitteet tukevat oletusarvoisia suojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyt mallit), valmistajan asentamaa varmentetta (MIC) ja allekirjoitettuja konfiguraatiotiedostoja, jotka tarjoavat tietyn turvallisuustason päätelaitteille.
Lisäksi yhteistyökumppani tai asiakas voi ottaa käyttöön lisäturvaa, kuten:
-
IP-puhelinpalveluiden salaus (HTTPS:n kautta) esimerkiksi Extension Mobility -palveluiden osalta
-
Paikallisesti merkittävien varmenteiden (LSC) myöntäminen CAPF-toiminnosta (Certificate Authority Proxy Function) tai julkisesta varmentajasta (CA).
-
Konfiguraatiotiedostojen salaus
-
Median ja viestinnän salaus
-
Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN Access, Gratuitous ARP, Web Access, Asetukset-painike, SSH, konsoli.
Suojausmekanismien toteuttaminen dedikoidussa instanssissa estää puhelinten ja Unified CM -palvelimen identiteetin varastamisen, tietojen peukaloinnin ja puheluiden signaloinnin / mediavirran peukaloinnin.
Dedicated Instance verkon kautta:
-
Luo ja ylläpitää todennettuja tietoliikennevirtoja.
-
Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen.
-
Salaa mediavirrat ja puheluiden signaloinnin Cisco Unified IP -puhelinten välillä.
Security by default tarjoaa seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:
-
Puhelimen asetustiedostojen allekirjoittaminen
-
Tuki puhelimen asetustiedoston salaukselle
-
HTTPS Tomcatin ja muiden verkkopalvelujen kanssa (MIDlets)
Unified CM Release 8.0:n ja sitä uudempien versioiden osalta nämä suojausominaisuudet tarjotaan oletusarvoisesti ilman CTL-asiakkaan (Certificate Trust List) suorittamista.
Luottamuksen todentamispalveluKoska verkossa on suuri määrä puhelimia ja IP-puhelimien muisti on rajallinen, Cisco Unified CM toimii etäluottamussäilönä TVS-palvelun (Trust Verification Service) kautta, jotta varmenteen luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Cisco IP -puhelimet ottavat yhteyttä TVS-palvelimeen tarkistusta varten, koska ne eivät voi tarkistaa allekirjoitusta tai varmenteita CTL- tai ITL-tiedostojen avulla. Keskitetyn luottamussäilön hallinta on helpompaa kuin se, että luottamussäilö on jokaisessa Cisco Unified IP -puhelimessa.
TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet, HTTPS:n perustamisen aikana.
Alkuperäinen luottamusluetteloInitial Trust List (ITL) -tiedostoa käytetään alustavaan suojaukseen, jotta päätelaitteet voivat luottaa Cisco Unified CM:ään. ITL:n ei tarvitse ottaa mitään tietoturvaominaisuuksia erikseen käyttöön. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.
Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan jokaiseen tuettuun Cisco IP -puhelimeen. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.
Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:
-
Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys konfiguraatiotiedoston salauksen tukemiselle.
-
Konfiguraatiotiedoston allekirjoituksen todentaminen
-
Sovelluspalvelimien, kuten EM-palvelujen, hakemiston ja MIDletin, todennus HTTPS:n perustamisen aikana TVS:n avulla.
Laitteen, tiedoston ja signaloinnin todennus perustuu CTL-tiedoston (Certificate Trust List) luomiseen. CTL-tiedosto luodaan, kun kumppani tai asiakas asentaa ja konfiguroi Ciscon Certificate Trust List Client -ohjelman.
CTL-tiedosto sisältää merkinnät seuraaville palvelimille tai suojauskoodeille:
-
Järjestelmänvalvojan turvakoodi (SAST)
-
Cisco CallManager- ja Cisco TFTP-palvelut, jotka toimivat samalla palvelimella.
-
Varmenteen välitystoiminto (CAPF)
-
TFTP-palvelin(t)
-
ASA-palomuuri
CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, kohteen nimen, palvelintoiminnon, DNS-nimen ja IP-osoitteen jokaiselle palvelimelle.
Puhelimen suojaus CTL:llä tarjoaa seuraavat toiminnot:
-
TFTP:llä ladattujen tiedostojen (konfiguraatio, paikannus, rengasluettelo jne.) todennus allekirjoitusavaimen avulla.
-
TFTP-konfiguraatiotiedostojen salaus allekirjoitusavaimella
-
IP-puhelinten salattu puheluiden signalointi
-
Salattu puheluääni (media) IP-puhelimissa
Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätelaitteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP) tai Session Initiation Protocol (SIP) -protokollaan, ja se voidaan salata TLS:llä (Transport Layer Security). Päätepisteistä ja päätepisteisiin lähtevä media perustuu reaaliaikaiseen RTP-protokollaan (Real-time Transport Protocol), ja se voidaan myös salata käyttämällä SRTP:tä (Secure RTP).
Sekatilan ottaminen käyttöön Unified CM:ssä mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.
Turvalliset UC-sovellukset
Sekatilan ottaminen käyttöön Dedicated Instance -tilassaSekatila on oletusarvoisesti käytössä Dedicated Instance -tilassa.
Sekatilan ottaminen käyttöön Dedicated Instance -tilassa mahdollistaa Ciscon päätelaitteista ja niihin suuntautuvan signalointi- ja medialiikenteen salauksen.
Cisco Unified CM:n versiossa 12.5(1) lisättiin Jabber- ja Webex-asiakkaille uusi vaihtoehto, jolla voidaan ottaa käyttöön signaloinnin ja median salaus, joka perustuu SIP OAuthiin sekatilan / CTL:n sijaan. Siksi Unified CM:n julkaisussa 12.5(1) voidaan käyttää SIP OAuthia ja SRTP:tä signaalin ja median salauksen käyttöön ottamiseksi Jabber- tai Webex-asiakkaille. Sekatilan ottaminen käyttöön on edelleen tarpeen Ciscon IP-puhelimissa ja muissa Ciscon päätelaitteissa tällä hetkellä. SIP OAuth -tuki on tarkoitus lisätä 7800/8800-päätelaitteisiin tulevassa versiossa.
Puheviestien turvallisuusCisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila on ei-turvallinen, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.
Jos haluat määrittää suojauksen Unified CM:n puheviestiportteihin ja Cisco Unity -laitteisiin, joissa on SCCP, tai Cisco Unity Connection -laitteisiin, joissa on SCCP, kumppani voi valita portille suojatun laiteturvatilan. Jos valitset todennetun vastaajaportin, avautuu TLS-yhteys, jossa laitteet todennetaan keskinäisen varmenteiden vaihdon avulla (kumpikin laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun puheportin, järjestelmä todentaa ensin laitteet ja lähettää sitten salattuja puhevirtoja laitteiden välillä.
Lisätietoja Security Voice -viestiportista on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST:n, runkojen, yhdyskäytävien ja CUBE/SBC:n tietoturva.
Cisco Unified Survivable Remote Site Telephony (SRST) -käytössä oleva yhdyskäytävä tarjoaa rajoitettuja puhelunkäsittelytehtäviä, jos Cisco Unified CM on Dedicated Instance ei pysty saattamaan puhelua loppuun.
Secure SRST -yhteensopivat yhdyskäytävät sisältävät itse allekirjoitetun varmenteen. Kun kumppani on suorittanut SRST-kokoonpanotehtävät Unified CM:n hallinnassa, Unified CM käyttää TLS-yhteyttä todentamiseen SRST-yhteensopivan yhdyskäytävän varmentajapalvelun kanssa. Tämän jälkeen Unified CM hakee varmenteen SRST-yhteensopivasta yhdyskäytävästä ja lisää varmenteen Unified CM:n tietokantaan.
Kun kumppani on nollannut riippuvaiset laitteet Unified CM:n hallinnassa, TFTP-palvelin lisää SRST-toiminnolla varustetun yhdyskäytävän varmenteen puhelimen cnf.xml-tiedostoon ja lähettää tiedoston puhelimeen. Tämän jälkeen suojattu puhelin käyttää TLS-yhteyttä vuorovaikutukseen SRST-yhteensopivan yhdyskäytävän kanssa.
On suositeltavaa, että Cisco Unified CM:stä lähteville puheluille on suojattu yhdyskäytävä lähteviä PSTN-puheluita varten tai Cisco Unified Border Elementin (CUBE) kautta kulkevia puheluita varten.
SIP-runkoyhteydet voivat tukea suojattuja puheluita sekä signaloinnin että median osalta; TLS tarjoaa signaloinnin salauksen ja SRTP tarjoaa median salauksen.
Cisco Unified CM:n ja CUBE:n välisen viestinnän suojaaminen
Cisco Unified CM:n ja CUBE:n välisessä suojatussa viestinnässä kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettuja varmenteita tai CA:n allekirjoittamia varmenteita.
Itse allekirjoitettujen varmenteiden osalta:
-
CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita.
-
CUBE vie varmenteen Cisco Unified CM:ään
-
Cisco Unified CM vie varmenteen CUBEen
CA:n allekirjoittamat varmenteet:
-
Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmentajalle.
-
Varmentaja allekirjoittaa sen yksityisellä avaimellaan, jolloin syntyy identiteettivarmenne.
-
Asiakas asentaa luettelon luotettavien CA:n juuri- ja välivarmenteista sekä identiteettivarmenteen.
Etäpäätteiden suojaus
Mobiili- ja etäyhteys (MRA) -päätelaitteiden kanssa signalointi ja media on aina salattu MRA-päätelaitteiden ja Expressway-solmujen välillä. Jos ICE-protokollaa (Interactive Connectivity Establishment) käytetään MRA-päätepisteissä, MRA-päätepisteiden signalointi- ja mediasalaus vaaditaan. Expressway-C:n ja sisäisten Unified CM -palvelimien, sisäisten päätepisteiden tai muiden sisäisten laitteiden välisen signaloinnin ja median salaus edellyttää kuitenkin mixed-mode- tai SIP OAuth -toimintoa.
Cisco Expressway tarjoaa turvallisen palomuurin ylityksen ja linjapuolen tuen Unified CM -rekisteröinnille. Unified CM tarjoaa puhelujen hallinnan sekä mobiilipäätteille että tiloissa oleville päätelaitteille. Signaalointi kulkee Expressway-ratkaisun kautta etäpäätteen ja Unified CM:n välillä. Media kulkee Expressway-ratkaisun läpi ja välitetään suoraan päätepisteiden välillä. Kaikki media salataan Expressway-C:n ja mobiilipäätelaitteen välillä.
Kaikki MRA-ratkaisut edellyttävät Expresswayn ja Unified CM:n sekä MRA-yhteensopivia soft-asiakkaita ja/tai kiinteitä päätelaitteita. Ratkaisu voi sisältää valinnaisesti IM- ja läsnäolopalvelun sekä Unity Connectionin.
Yhteenveto pöytäkirjasta
Seuraavassa taulukossa esitetään Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.
Protokolla |
Suojaus |
Palvelu |
---|---|---|
SIP |
TLS |
Istunnon perustaminen: Rekisteröidy, kutsu jne. |
HTTPS |
TLS |
Sisäänkirjautuminen, käyttöönotto/määritys, hakemisto, visuaalinen vastaajapalvelu |
Media |
SRTP |
Media: Audio, video, sisällön jakaminen |
XMPP |
TLS |
Pikaviestintä, läsnäolo, federaatio |
Lisätietoja MRA-konfiguraatiosta on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurointivaihtoehdot
Dedicated Instance tarjoaa kumppanille joustavuutta mukauttaa palveluita loppukäyttäjille, sillä se hallitsee täysin toisen päivän kokoonpanoja. Näin ollen kumppani on yksin vastuussa Dedicated Instance -palvelun asianmukaisesta konfiguroinnista loppukäyttäjän ympäristöön. Tähän kuuluvat muun muassa:
-
Turvallisten/epäsuojattujen puhelujen valinta, turvalliset/epäsuojatut protokollat, kuten SIP/sSIP, http/https jne. ja niihin liittyvien riskien ymmärtäminen.
-
Kaikissa MAC-osoitteissa, joita ei ole määritetty suojatuksi SIP-osoitteeksi Dedicated Instance -palvelussa, hyökkääjä voi lähettää SIP-rekisteriviestin kyseistä MAC-osoitetta käyttäen ja soittaa SIP-puheluita, mikä voi johtaa tietullipetokseen. Edellytyksenä on, että hyökkääjä voi rekisteröidä SIP-laitteensa/ohjelmistonsa Dedicated Instanceen ilman lupaa, jos hän tietää Dedicated Instanceen rekisteröidyn laitteen MAC-osoitteen.
-
Expressway-E-puhelukäytännöt, muunnos- ja hakusäännöt on määritettävä tietullipetosten estämiseksi. Lisätietoja tiemaksupetosten estämisestä pikaväylien avulla on kohdassa Security for Expressway C and Expressway-E, Collaboration SRND.
-
Valintasuunnitelman konfigurointi sen varmistamiseksi, että käyttäjät voivat valita vain sallittuihin kohteisiin, esim. kieltää kansallisen/kansainvälisen valinnan, hätäpuhelut reititetään oikein jne. Lisätietoja rajoitusten soveltamisesta valintasuunnitelman avulla on Collaboration SRND:n osassa Dial Plan .
Varmenteen vaatimukset suojatuille yhteyksille Dedicated Instance -tilassa
Dedicated Instance -tilassa Cisco tarjoaa verkkotunnuksen ja allekirjoittaa kaikki UC-sovellusten varmenteet julkisen varmentajan (Certificate Authority, CA) avulla.
Dedicated Instance - porttinumerot ja protokollat
Seuraavissa taulukoissa kuvataan portit ja protokollat, joita Dedicated Instance tukee. Tietyn asiakkaan käyttämät portit riippuvat asiakkaan käyttöönotosta ja ratkaisusta. Protokollien valinta riippuu asiakkaan mieltymyksestä (SCCP vs. SIP), olemassa olevista laitteista ja turvallisuustasosta, joka määrittää, mitä portteja kussakin käyttöönotossa käytetään.
Dedicated Instance ei salli verkko-osoitteiden kääntämistä (NAT) päätelaitteiden ja Unified CM:n välillä, jolloin jotkin puhelunkulkuominaisuudet eivät toimi, esimerkiksi puhelun puolivälissä oleva ominaisuus.
Dedicated Instance - Asiakassatamat
Asiakkaiden käytettävissä olevat portit - Asiakkaan toimipisteen ja Dedicated Instance -tilan välillä on esitetty taulukossa 1 Dedicated Instance -asiakkaan portit. Kaikki alla luetellut portit ovat asiakasliikennettä varten, joka kulkee peering-linkkien kautta.
SNMP-portti on oletusarvoisesti avoinna vain Cisco Emergency Responderin toiminnallisuutta varten. Koska emme tue kumppaneita tai asiakkaita, jotka valvovat Dedicated Instance -pilvipalveluun asennettuja UC-sovelluksia, emme salli SNMP-portin avaamista muille UC-sovelluksille.
Cisco on varannut portit alueella 5063-5080 muille pilvi-integraatioille, ja kumppanien tai asiakkaiden ylläpitäjien ei suositella käyttävän näitä portteja määrityksissään.
Protokolla |
TCP/UDP |
Lähde |
Kohde |
Lähdeportti |
Määräsatama |
Käyttötarkoitus |
---|---|---|---|---|---|---|
SSH |
TCP |
Asiakas |
UC-sovellukset Ei sallittu Cisco Expressway -sovelluksissa. |
Suurempi kuin 1023 |
22 |
Hallinta |
TFTP |
UDP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
69 |
Legacy-päätepisteiden tuki |
LDAP |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Suurempi kuin 1023 |
389 |
Hakemiston synkronointi asiakkaan LDAP:n kanssa |
HTTPS |
TCP |
Selain |
UC-sovellukset |
Suurempi kuin 1023 |
443 |
Verkkopääsy itsehoitoa ja hallinnollisia käyttöliittymiä varten |
Lähtevä posti (SECURE) |
TCP |
UC-sovellus |
CUCxn |
Suurempi kuin 1023 |
587 |
Käytetään suojattujen viestien laatimiseen ja lähettämiseen määritetyille vastaanottajille. |
LDAP (TURVALLINEN) |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Suurempi kuin 1023 |
636 |
Hakemiston synkronointi asiakkaan LDAP:n kanssa |
H323 |
TCP |
Yhdyskäytävä |
Unified CM |
Suurempi kuin 1023 |
1720 |
Kutsun signalointi |
H323 |
TCP |
Unified CM |
Unified CM |
Suurempi kuin 1023 |
1720 |
Kutsun signalointi |
SCCP |
TCP |
Loppupiste |
Unified CM, CUCxn |
Suurempi kuin 1023 |
2000 |
Kutsun signalointi |
SCCP |
TCP |
Unified CM |
Unified CM, yhdyskäytävä |
Suurempi kuin 1023 |
2000 |
Kutsun signalointi |
MGCP |
UDP |
Yhdyskäytävä |
Yhdyskäytävä |
Suurempi kuin 1023 |
2427 |
Kutsun signalointi |
MGCP Backhaul |
TCP |
Yhdyskäytävä |
Unified CM |
Suurempi kuin 1023 |
2428 |
Kutsun signalointi |
SCCP (SECURE) |
TCP |
Loppupiste |
Unified CM, CUCxn |
Suurempi kuin 1023 |
2443 |
Kutsun signalointi |
SCCP (SECURE) |
TCP |
Unified CM |
Unified CM, yhdyskäytävä |
Suurempi kuin 1023 |
2443 |
Kutsun signalointi |
Luottamuksen todentaminen |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
2445 |
Luottamuksen varmentamispalvelun tarjoaminen päätepisteille |
CTI |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
2748 |
CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välinen yhteys |
Turvallinen CTI |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
2749 |
Turvallinen yhteys CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välillä. |
LDAP Global Catalog |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Suurempi kuin 1023 |
3268 |
Hakemiston synkronointi asiakkaan LDAP:n kanssa |
LDAP Global Catalog |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Suurempi kuin 1023 |
3269 |
Hakemiston synkronointi asiakkaan LDAP:n kanssa |
CAPF-palvelu |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
3804 |
CAPF (Certificate Authority Proxy Function) -kuunteluportti paikallisesti merkittävien varmenteiden (Locally Significant Certificates, LSC) myöntämistä varten IP-puhelimille. |
SIP |
TCP |
Loppupiste |
Unified CM, CUCxn |
Suurempi kuin 1023 |
5060 |
Kutsun signalointi |
SIP |
TCP |
Unified CM |
Unified CM, yhdyskäytävä |
Suurempi kuin 1023 |
5060 |
Kutsun signalointi |
SIP (SECURE) |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
5061 |
Kutsun signalointi |
SIP (SECURE) |
TCP |
Unified CM |
Unified CM, yhdyskäytävä |
Suurempi kuin 1023 |
5061 |
Kutsun signalointi |
SIP (OAUTH) |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
5090 |
Kutsun signalointi |
XMPP |
TCP |
Jabber-asiakas |
Cisco IM&P |
Suurempi kuin 1023 |
5222 |
Pikaviestit ja läsnäolo |
HTTP |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
6970 |
Konfiguraation ja kuvien lataaminen päätepisteisiin |
HTTPS |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
6971 |
Konfiguraation ja kuvien lataaminen päätepisteisiin |
HTTPS |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
6972 |
Konfiguraation ja kuvien lataaminen päätepisteisiin |
HTTP |
TCP |
Jabber-asiakas |
CUCxn |
Suurempi kuin 1023 |
7080 |
Ääniposti-ilmoitukset |
HTTPS |
TCP |
Jabber-asiakas |
CUCxn |
Suurempi kuin 1023 |
7443 |
Turvalliset puheposti-ilmoitukset |
HTTPS |
TCP |
Unified CM |
Unified CM |
Suurempi kuin 1023 |
7501 |
Intercluster Lookup Service (ILS) käyttää varmennepohjaista todennusta varten. |
HTTPS |
TCP |
Unified CM |
Unified CM |
Suurempi kuin 1023 |
7502 |
ILS käyttää salasanapohjaista todennusta varten |
IMAP |
TCP |
Jabber-asiakas |
CUCxn |
Suurempi kuin 1023 |
7993 |
IMAP over TLS |
HTTP |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
8080 |
Legacy-päätepisteen tuen hakemisto-URI |
HTTPS |
TCP |
Selain, päätepiste |
UC-sovellukset |
Suurempi kuin 1023 |
8443 |
Verkkopääsy itsehoitoa ja hallinnollisia käyttöliittymiä varten, UDS |
HTTPS |
TCP |
Puhelin |
Unified CM |
Suurempi kuin 1023 |
9443 |
Todennettu yhteystietojen haku |
HTTPs |
TCP |
Loppupiste |
Unified CM |
Suurempi kuin 1023 |
9444 |
Kuulokkeiden hallintaominaisuus |
Turvallinen RTP/SRTP |
UDP |
Unified CM |
Puhelin |
16384-32767 * |
16384-32767 * |
Media (ääni) - Pidossa oleva musiikki, ilmoituslaite, ohjelmistokonferenssisilta (avoinna puhelun signalointiin perustuen). |
Turvallinen RTP/SRTP |
UDP |
Puhelin |
Unified CM |
16384-32767 * |
16384-32767 * |
Media (ääni) - Pidossa oleva musiikki, ilmoituslaite, ohjelmistokonferenssisilta (avoinna puhelun signalointiin perustuen). |
COBRAS |
TCP |
Asiakas |
CUCxn |
Suurempi kuin 1023 |
20532 |
Varmuuskopiointi ja palauttaminen Application Suite |
ICMP |
ICMP |
Loppupiste |
UC-sovellukset |
Ei sovelleta |
Ei sovelleta |
Ping |
ICMP |
ICMP |
UC-sovellukset |
Loppupiste |
Ei sovelleta |
Ei sovelleta |
Ping |
DNS | UDP ja TCP |
DNS-tiedonsiirrin |
Dedicated Instance DNS-palvelimet |
Suurempi kuin 1023 |
53 |
Asiakkaan tiloissa olevat DNS-tiedonsiirtimet Dedicated Instance DNS-palvelimiin. Lisätietoja on osoitteessa DNS-vaatimukset . |
* Tietyissä erityistapauksissa voidaan käyttää suurempaa vaihteluväliä. |
Dedicated Instance - OTT-portit
Asiakkaat ja yhteistyökumppanit voivat käyttää seuraavaa porttia mobiili- ja etäyhteyden (MRA) asennukseen:
Protokolla |
TCP/UCP |
Lähde |
Kohde |
Lähdeportti |
Määräsatama |
Käyttötarkoitus |
---|---|---|---|---|---|---|
TURVALLINEN RTP/RTCP |
UDP |
Pikaraitiotie C |
Asiakas |
Suurempi kuin 1023 |
36000-59999 |
Secure Media MRA- ja B2B-puheluita varten |
Inter-op SIP-trunki monikäyttöisen ja dedikoidun instanssin välillä (vain rekisteröintiin perustuva trunki).
Asiakkaan palomuurissa on sallittava seuraavat portit rekisteröintiin perustuvalle SIP-trunkille, joka muodostaa yhteyden Multitenant- ja Dedicated Instance -palvelun välille.
Protokolla |
TCP/UCP |
Lähde |
Kohde |
Lähdeportti |
Määräsatama |
Käyttötarkoitus |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Asiakas |
Suurempi kuin 1023 |
8000-48198 |
Media Webex Calling Multitenantista |
Dedicated Instance - UCCX-portit
Asiakkaat ja yhteistyökumppanit voivat käyttää UCCX:n määrittämiseen seuraavaa porttiluetteloa.
Protokolla |
TCP / UCP |
Lähde |
Kohde |
Lähdeportti |
Määräsatama |
Käyttötarkoitus |
---|---|---|---|---|---|---|
SSH |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
22 |
SFTP ja SSH |
Informix |
TCP |
Asiakas tai palvelin |
UCCX |
Suurempi kuin 1023 |
1504 |
Contact Center Express -tietokannan portti |
SIP |
UDP ja TCP |
SIP GW tai MCRP-palvelin |
UCCX |
Suurempi kuin 1023 |
5065 |
Viestintä etä-GW- ja MCRP-solmujen kanssa |
XMPP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
5223 |
Turvallinen XMPP-yhteys Finesse-palvelimen ja mukautettujen kolmannen osapuolen sovellusten välillä |
CVD |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
6999 |
CCX-sovellusten toimittaja |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
7443 |
Finesse-palvelimen ja agentti- ja esimiestyöpöytien välinen suojattu BOSH-yhteys HTTPS-yhteyttä varten. |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8080 |
Live-data-raportointiasiakkaat muodostavat yhteyden socket.IO-palvelimeen. |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8081 |
Asiakkaan selain yrittää käyttää Cisco Unified Intelligence Centerin verkkokäyttöliittymää. |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8443 |
Admin GUI, RTMT, tietokantakäyttö SOAPin kautta |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8444 |
Cisco Unified Intelligence Center -verkkokäyttöliittymä |
HTTPS |
TCP |
Selain- ja REST-asiakkaat |
UCCX |
Suurempi kuin 1023 |
8445 |
Finessen turvallinen satama |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8447 |
HTTPS - Unified Intelligence Centerin online-ohjeet |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8553 |
Single sign-on (SSO) -komponentit käyttävät tätä käyttöliittymää saadakseen tiedon Cisco IdS:n toimintatilasta. |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
9080 |
Asiakkaat, jotka yrittävät käyttää HTTP-triggereitä tai asiakirjoja / kehotteita / kielioppia / live-dataa. |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
9443 |
Suojattu portti, jota käytetään vastaamaan asiakkaille, jotka yrittävät käyttää HTTPS-liipaisimia. |
TCP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12014 |
Tämä on portti, josta live-data-raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen. |
TCP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12015 |
Tämä on portti, josta live-data-raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen. |
CTI |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12028 |
Kolmannen osapuolen CTI-asiakas CCX:ään |
RTP(Media) |
TCP |
Loppupiste |
UCCX |
Suurempi kuin 1023 |
Suurempi kuin 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
RTP(Media) |
TCP |
Asiakas |
Loppupiste |
Suurempi kuin 1023 |
Suurempi kuin 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
Asiakkaan turvallisuus
Jabberin ja Webexin suojaaminen SIP OAuthin avulla
Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnisteen avulla paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei edellytä CAPF-toiminnon (Certificate Authority Proxy Function) käyttöönottoa (myös MRA:n osalta). SIP OAuth toimii sekatilassa tai ilman sitä, ja se otettiin käyttöön Cisco Unified CM 12.5(1):ssä, Jabber 12.5:ssä ja Expressway X12.5:ssä.
Cisco Unified CM 12.5:ssä puhelimen turvallisuusprofiilissa on uusi vaihtoehto, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä TLS:ää (Transport Layer Security) + OAuth-tunnusta SIP REGISTERissä. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) -rajapintapalvelua (AXL) ilmoittaakseen Cisco Unified CM:lle varmenteensa SN/SAN-tiedot. Cisco Unified CM käyttää näitä tietoja Exp-C-sertifikaatin vahvistamiseen, kun se luo keskinäistä TLS-yhteyttä.
SIP OAuth mahdollistaa median ja viestinnän salauksen ilman päätelaitesertifikaattia (LSC).
Cisco Jabber käyttää TFTP-palvelimelle HTTPS-yhteyden kautta TFTP-palvelimelle asetustiedostojen lataamiseen Ephemeral-portteja ja suojattuja portteja 6971 ja 6972. Portti 6970 on suojaamaton portti HTTP-latausta varten.
Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.
DNS-vaatimukset
Dedicated Instance -palvelun osalta Cisco antaa palvelun FQDN:n kullakin alueella seuraavassa muodossa: ..wxc-di.webex.com esimerkiksi xyz.amer.wxc-di.webex.com.
Asiakas-arvon antaa järjestelmänvalvoja osana ohjatun ensiasennusohjelman (First Time Setup Wizard, FTSW) ohjelmaa. Lisätietoja on osoitteessa Dedicated Instance Service Activation.
Tämän FQDN:n DNS-tietueiden on oltava ratkaistavissa asiakkaan sisäisestä DNS-palvelimesta, jotta voidaan tukea paikallisia laitteita, jotka muodostavat yhteyden Dedicated Instance -palvelimeen. Ratkaisun helpottamiseksi asiakkaan on määritettävä tälle FQDN-nimelle ehdollinen välittäjä DNS-palvelimelle, joka osoittaa Dedicated Instance DNS-palveluun. Dedicated Instance DNS-palvelu on alueellinen, ja se on tavoitettavissa Dedicated Instance -palvelun peeringin kautta käyttämällä seuraavia IP-osoitteita, jotka on mainittu alla olevassa taulukossa Dedicated Instance DNS-palvelu IP-osoite.
Alue/DC | Dedicated Instance DNS-palvelun IP-osoite |
Ehdollinen edelleenlähetys Esimerkki |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
UK |
<customer>.uk.wxc-di.webex.com | |
LON |
178.215.135.100 |
|
MAN |
178.215.135.228 |
Ping-vaihtoehto on poistettu käytöstä edellä mainittujen DNS-palvelimen IP-osoitteiden osalta turvallisuussyistä.
Ennen kuin ehdollinen välitys on käytössä, laitteet eivät voi rekisteröityä Dedicated Instance -palveluun asiakkaan sisäverkosta peering-linkkien kautta. Ehdollista edelleenlähetystä ei tarvita MRA:n (Mobile and Remote Access) kautta tapahtuvassa rekisteröinnissä, sillä Cisco tarjoaa kaikki MRA:n edellyttämät ulkoiset DNS-tietueet valmiiksi.
Kun käytät Webex-sovellusta Dedicated Instance -sovelluksen softa-asiakkaana, Control Hubissa on määritettävä UC Manager -profiili kunkin alueen Voice Service Domain (VSD) -palvelualueelle. Lisätietoja on osoitteessa UC Manager Profiles in Cisco Webex Control Hub. Webex-sovellus pystyy automaattisesti ratkaisemaan asiakkaan Expressway Edge -yhteyden ilman loppukäyttäjän toimenpiteitä.
Voice Service Domain toimitetaan asiakkaalle osana kumppanin käyttöoikeutta koskevaa asiakirjaa, kun palvelun aktivointi on saatu päätökseen.
Käytä paikallista reititintä puhelimen DNS-resoluutiota varten
Puhelimissa, joilla ei ole pääsyä yrityksen DNS-palvelimille, on mahdollista käyttää paikallista Cisco-reititintä välittämään DNS-pyyntöjä Dedicated Instance -pilvipalvelimen DNS-palvelimelle. Tämä poistaa tarpeen ottaa käyttöön paikallinen DNS-palvelin ja tarjoaa täyden DNS-tuen, mukaan lukien välimuistitallennus.
Esimerkkikonfiguraatio :
!
ip dns-palvelin
ip-nimipalvelin
!
DNS:n käyttö tässä käyttöönottomallissa on puhelinkohtaista, ja sitä voidaan käyttää vain FQDN:n ratkaisemiseen asiakkaan Dedicated Instance -palvelun toimialueen kanssa.
Viitteet
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Turvallisuus-aihe: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Cisco Unified Communications Managerin tietoturvaopas: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html