- Etusivu
- /
- Artikkeli
Tämä asiakirja keskittyy ensisijaisesti Dedicated Instance -ratkaisun verkko- ja suojausvaatimuksiin, mukaan lukien kerrostettu lähestymistapa ominaisuuksiin ja toimintoihin, jotka tarjoavat suojatun fyysisen pääsyn, suojatun verkon, suojatut päätepisteet ja suojatut Cisco UC -sovellukset.
Dedikoidun ilmentymän verkkovaatimukset
Webex Calling Dedicated Instance on osa Cisco Cloud Calling -portfoliota, joka perustuu Cisco Unified Communications Manager (Cisco Unified CM) -yhteistyöteknologiaan. Dedicated Instance tarjoaa ääni-, video-, viesti- ja mobiiliratkaisuja Ciscon IP-puhelimien, mobiililaitteiden ja työpöytäasiakkaiden ominaisuuksilla ja eduilla, jotka muodostavat turvallisen yhteyden omistettuun ilmentymään.
Tämä artikkeli on tarkoitettu verkonvalvojille, erityisesti palomuurin ja välityspalvelimen suojauksen järjestelmänvalvojille, jotka haluavat käyttää omaa ilmentymää organisaatiossaan.
Turvallisuuskatsaus: Turvallisuus kerroksittain
Dedicated Instance käyttää kerroksittain suojattua lähestymistapaa. Kerrokset sisältävät:
Fyysinen pääsy
Verkko
Päätepisteet
UC-sovellukset
Seuraavissa osissa kuvataan erillisen ilmentymän käyttöönottojen suojauskerroksia.
Fyysinen turvallisuus
On tärkeää tarjota fyysinen suojaus Equinix Meet-Me -huoneiden sijainneille ja Cisco Dedicated Instance Data Center -palveluille. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelukatkoksia katkaisemalla asiakkaan kytkimien virta. Fyysisellä pääsyllä hyökkääjät voivat päästä käsiksi palvelinlaitteisiin, nollata salasanat ja päästä kytkimiin. Fyysinen pääsy mahdollistaa myös kehittyneempiä hyökkäyksiä, kuten man-in-the-middle -hyökkäyksiä, minkä vuoksi toinen suojakerros, verkon suojaus, on kriittinen.
Itsesalautuvia asemia käytetään erillisissä palvelinkeskuksissa, jotka isännöivät UC-sovelluksia.
Lisätietoja yleisistä suojauskäytännöistä on dokumentaatiossa seuraavassa osoitteessa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Verkkoturvallisuus
Kumppanien on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka yhdistää Equinixin kautta). Kumppanin vastuulla on varmistaa turvallisuuden parhaat käytännöt, kuten:
Erillinen VLAN puheelle ja datalle
Ota käyttöön Port Security, joka rajoittaa sallittujen MAC-osoitteiden määrää porttia kohden CAM-taulukon tulvimisen estämiseksi
IP-lähdesuoja väärennetyiltä IP-osoitteilta
Dynamic ARP Inspection (DAI) tutkii osoitteenselvitysprotokollan (ARP) ja vastineen ARP:n (GARP) rikkomusten varalta (ARP-huijausta vastaan)
802.1x rajoittaa pääsyä verkkoon osoitettujen VLAN-verkkojen laitteiden todentamiseksi (puhelimet tukevat 802:ta.1x)
Palvelun laadun (QoS) konfigurointi äänipakettien asianmukaista merkitsemistä varten
Palomuuri porttien kokoonpanot estävät kaiken muun liikenteen
Päätepisteiden turvallisuus
Ciscon päätepisteet tukevat oletussuojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (valitut mallit), valmistajan asentamaa varmennetta (MIC) ja allekirjoitettuja konfiguraatiotiedostoja, jotka tarjoavat tietyn suojan päätepisteille.
Lisäksi kumppani tai asiakas voi ottaa käyttöön lisäturvaa, kuten:
Salaa IP-puhelinpalvelut (HTTPS:n kautta) palveluille, kuten Extension Mobility
Myönnä paikallisesti merkittäviä varmenteita (LSC) sertifikaatin myöntäjän välityspalvelimelta (CAPF) tai julkiselta varmentajalta (CA)
Salaa määritystiedostot
Salaa media ja signalointi
Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN Access, Ilmainen ARP, Web Access, Asetukset-painike, SSH, konsoli
Suojausmekanismien käyttöönotto erillisessä ilmentymässä estää puhelimien ja Unified CM -palvelimen identiteettivarkauden, tietojen peukaloinnin ja soittosignaloinnin/mediavirran peukaloinnin.
Dedikoitu esiintymä verkossa:
Perustaa ja ylläpitää todennettuja viestintävirtoja
Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen
Salaa mediavirrat ja puhelusignaloinnin Cisco Unified IP -puhelimien välillä
Suojaus tarjoaa oletusarvoisesti seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:
Puhelimen asetustiedostojen allekirjoitus
Tuki puhelimen asetustiedostojen salaukselle
HTTPS Tomcatin ja muiden verkkopalvelujen (MIDlet) kanssa
Myöhemmässä versiossa Unified CM Release 8.0 nämä suojausominaisuudet ovat oletusarvoisesti käytössä ilman CTL (Certificate Trust List) -asiakasohjelmaa.
Luottamuksen vahvistuspalveluKoska verkossa on suuri määrä puhelimia ja IP-puhelimien muisti on rajallinen, Cisco Unified CM toimii etäluottamussäilönä Trust Verification Servicen (TVS) kautta, joten varmenteiden luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Ciscon IP-puhelimet ottavat yhteyttä TVS-palvelimeen vahvistusta varten, koska ne eivät voi vahvistaa allekirjoitusta tai varmennetta CTL- tai ITL-tiedostojen kautta. Keskitettyä luottamussäilöä on helpompi hallita kuin luottamussäilöä jokaisessa Cisco Unified IP -puhelimessa.
TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimia, kuten EM-palvelut, hakemistot ja MIDlet-palvelimet HTTPS-muodostuksen aikana.
Alkuperäinen luottamuslistaInitial Trust List (ITL) -tiedostoa käytetään alkuperäisessä suojauksessa, jotta päätepisteet voivat luottaa Cisco Unified CM:ään. ITL:n ei tarvitse olla erikseen käytössä mitään suojausominaisuuksia. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.
Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan jokaiseen tuettuun Cisco IP -puhelimeen. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.
Cisco IP -puhelimet tarvitsevat ITL-tiedoston suorittaakseen seuraavat tehtävät:
Kommunikoi turvallisesti CAPF:n kanssa, joka on määritystiedoston salauksen tukemisen edellytys
Todenna määritystiedoston allekirjoitus
Todentaa sovelluspalvelimet, kuten EM-palvelut, hakemisto ja MIDlet HTTPS-muodostuksen aikana TVS:n avulla
Laitteen, tiedoston ja signaloinnin todennus perustuu Certificate Trust List (CTL) -tiedoston luomiseen, joka luodaan, kun kumppani tai asiakas asentaa ja määrittää Cisco Certificate Trust List Client -ohjelman.
CTL-tiedosto sisältää merkintöjä seuraaville palvelimille tai suojaustunnuksille:
System Administrator Security Token (SAST)
Cisco CallManager- ja Ciscon TFTP-palvelut, jotka toimivat samalla palvelimella
Varmenteen myöntäjän välityspalvelintoiminto (CAPF)
TFTP-palvelimet
ASA palomuuri
CTL-tiedosto sisältää kunkin palvelimen palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, aiheen nimen, palvelimen toiminnon, DNS-nimen ja IP-osoitteen.
Puhelimen suojaus CTL:llä tarjoaa seuraavat toiminnot:
TFTP-ladattujen tiedostojen (määritykset, kieliasetukset, soittolista ja niin edelleen) todennus allekirjoitusavaimella
TFTP-määritystiedostojen salaus allekirjoitusavaimella
Salattu puhelumerkinanto IP-puhelimille
Salattu puheluääni (media) IP-puhelimille
Dedicated Instance tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätepisteiden välinen signalointi perustuu Secure Skinny Client Control Protocol (SCCP)- tai SIP (Session Initiation Protocol) -protokollaan, ja se voidaan salata Transport Layer Securityn (TLS) avulla. Media päätepisteistä/päätepisteisiin perustuu Real-time Transport Protocol (RTP) -protokollaan, ja se voidaan myös salata käyttämällä Secure RTP:tä (SRTP).
Sekatilan käyttöönotto Unified CM:ssä mahdollistaa signaloinnin ja medialiikenteen salauksen Ciscon päätepisteistä ja niihin.
Suojatut UC-sovellukset
Sekatilan käyttöönotto omistetussa ilmentymässäMixed-tila on oletuksena käytössä erillisessä ilmentymässä.
Sekatilan ottaminen käyttöön erillisessä ilmentymässä mahdollistaa merkinanto- ja medialiikenteen salauksen Ciscon päätepisteistä ja niihin.
Cisco Unified CM:n versiossa 12.5(1) Jabber- ja Webex-asiakkaille lisättiin uusi vaihtoehto, joka mahdollistaa signaloinnin ja median salauksen SIP OAuth -pohjaisen sekatilan / CTL:n sijaan. Siksi Unified CM:n versiossa 12.5(1) SIP OAuthia ja SRTP:tä voidaan käyttää mahdollistamaan signaloinnin ja median salaus Jabber- tai Webex-asiakkaille. Sekoitettu tila on otettava käyttöön Ciscon IP-puhelimissa ja muissa Ciscon päätepisteissä tällä hetkellä. Tulevassa julkaisussa on tarkoitus lisätä tuki SIP OAuthille 7800/8800-päätepisteissä.
Ääniviestien suojausCisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila ei ole suojattu, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.
Jos haluat määrittää suojauksen Unified CM -ääniviestiporteille ja Cisco Unity -laitteille, jotka käyttävät SCCP:tä tai Cisco Unity Connection -laitteita, joissa on käytössä SCCP, kumppani voi valita suojatun laitteen suojaustilan portille. Jos valitset autentikoidun puhepostiportin, avautuu TLS-yhteys, joka todentaa laitteet keskinäisen varmenteenvaihdon avulla (jokainen laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun puhepostiportin, järjestelmä ensin todentaa laitteet ja lähettää sitten salattuja äänivirtoja laitteiden välillä.
Lisätietoja Security Voice -viestiporteista on osoitteessa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Suojaus SRST:lle, rungoille, yhdyskäytävälle, CUBE/SBC:lle
Cisco Unified Survivable Remote Site Telephony (SRST) -yhdyskäytävä tarjoaa rajoitettuja puhelunkäsittelytehtäviä, jos omistetun ilmentymän Cisco Unified CM ei pysty suorittamaan puhelua loppuun.
Suojatut SRST-yhdyskäytävät sisältävät itseallekirjoitetun varmenteen. Kun kumppani on suorittanut SRST-määritystehtävät Unified CM Administrationissa, Unified CM käyttää TLS-yhteyttä todentaakseen varmenteentarjoajapalvelun kanssa SRST-yhteensopivassa yhdyskäytävässä. Unified CM hakee sitten varmenteen SRST-yhdyskäytävästä ja lisää varmenteen Unified CM -tietokantaan.
Kun kumppani nollaa riippuvat laitteet Unified CM Administrationissa, TFTP-palvelin lisää SRST-yhdyskäytävävarmenteen puhelimen cnf.xml-tiedostoon ja lähettää tiedoston puhelimeen. Suojattu puhelin käyttää sitten TLS-yhteyttä vuorovaikutuksessa SRST-yhdyskäytävän kanssa.
On suositeltavaa, että puhelut lähtevät Cisco Unified CM:stä yhdyskäytävään lähteville PSTN-puheluille tai Cisco Unified Border Elementin (CUBE) kautta kulkeville puheluille.
SIP-rungot voivat tukea suojattuja puheluita sekä signalointia että mediaa varten; TLS tarjoaa signaloinnin salauksen ja SRTP tarjoaa median salauksen.
Tietoliikenteen suojaaminen Cisco Unified CM:n ja CUBE:n välillä
Cisco Unified CM:n ja CUBE:n välistä suojattua viestintää varten kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettua varmennetta tai CA:n allekirjoittamia varmenteita.
Itseallekirjoitetut sertifikaatit:
CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita
CUBE vie sertifikaatin Cisco Unified CM:ään
Cisco Unified CM vie varmenteen CUBE:hen
CA-allekirjoitetut sertifikaatit:
Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmenteen myöntäjälle (CA)
Varmentaja allekirjoittaa sen yksityisellä avaimellaan ja luo tunnistusvarmenteen
Asiakas asentaa luettelon luotetuista CA-juuri- ja välivarmenteista sekä henkilöllisyysvarmenteen
Suojaus etäpäätepisteille
Mobile and Remote Access (MRA) -päätepisteissä signalointi ja media on aina salattu MRA-päätepisteiden ja Expressway-solmujen välillä. Jos MRA-päätepisteissä käytetään Interactive Connectivity Establishment (ICE) -protokollaa, MRA-päätepisteiden signalointi ja mediasalaus vaaditaan. Signaloinnin ja median salaus Expressway-C:n ja sisäisten Unified CM -palvelimien, sisäisten päätepisteiden tai muiden sisäisten laitteiden välillä vaatii kuitenkin sekatilan tai SIP OAuthin.
Cisco Expressway tarjoaa suojatun palomuurin läpikäynnin ja linjapuolen tuen Unified CM -rekisteröinneille. Unified CM tarjoaa puhelunhallinnan sekä mobiili- että paikallisille päätepisteille. Signalointi kulkee Expressway-ratkaisun läpi etäpäätepisteen ja Unified CM:n välillä. Media kulkee Expressway-ratkaisun läpi ja välitetään päätepisteiden välillä suoraan. Kaikki media on salattu Expressway-C:n ja mobiilipäätepisteen välillä.
Mikä tahansa MRA-ratkaisu vaatii Expresswayn ja Unified CM:n, jossa on MRA-yhteensopivia soft-asiakkaita ja/tai kiinteitä päätepisteitä. Ratkaisu voi sisältää valinnaisesti pikaviesti- ja läsnäolopalvelun sekä Unity Connectionin.
Yhteenveto pöytäkirjasta
Seuraavassa taulukossa näkyvät Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.
pöytäkirja | Turvallisuus | Palvelu |
---|---|---|
SIEMAILLA | TLS | Istunnon perustaminen: Rekisteröidy, kutsu jne. |
HTTPS | TLS | Kirjautuminen, hallinta/määritykset, hakemisto, visuaalinen puheposti |
Media | SRTP | Media: Äänen, videon, sisällön jakaminen |
XMPP | TLS | Pikaviestit, läsnäolo, liittäminen |
Katso lisätietoja MRA-määrityksestä: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Asetusvaihtoehdot
Dedicated Instance tarjoaa kumppanille joustavuutta räätälöidä palveluja loppukäyttäjille toisen päivän kokoonpanojen täyden hallinnan avulla. Tämän seurauksena kumppani on yksin vastuussa Dedicated Instance -palvelun asianmukaisesta määrittämisestä loppukäyttäjän ympäristössä. Tämä sisältää, mutta ei rajoittuen:
Suojattujen/suojaamattomien puhelujen, suojattujen/suojaamattomien protokollien, kuten SIP/sSIP, http/https jne., valinta ja niihin liittyvien riskien ymmärtäminen.
Kaikille MAC-osoitteille, joita ei ole määritetty suojatuksi SIP:ksi erillisessä ilmentymässä, hyökkääjä voi lähettää SIP-rekisteriviestin käyttämällä tätä MAC-osoitetta ja soittaa SIP-puheluita, mikä johtaa maksupetokseen. Edellytyksenä on, että hyökkääjä voi rekisteröidä SIP-laitteensa/ohjelmistonsa omistettuun ilmentymään ilman lupaa, jos hän tietää omistettuun ilmentymään rekisteröidyn laitteen MAC-osoitteen.
Expressway-E-puhelukäytännöt, muunnos- ja hakusäännöt tulee määrittää estämään tiemaksupetokset. Lisätietoja tietullipetosten estämisestä Expresswaysillä on osiossa Suojaus Expressway C:lle ja Expressway-E:lle. Yhteistyö SRND.
Valintasuunnitelman määrittäminen varmistaaksesi, että käyttäjät voivat soittaa vain sellaisiin kohteisiin, jotka ovat sallittuja, esim. kieltävät kansalliset/kansainväliset numerot, hätäpuhelut on reititetty oikein jne. Lisätietoja rajoitusten soveltamisesta soittosuunnitelman avulla on osoitteessa Dial Plan Yhteistyö SRND:n osa.
Varmennevaatimukset suojatuille yhteyksille erillisessä ilmentymässä
Dedikoidulle ilmentymälle Cisco tarjoaa toimialueen ja allekirjoittaa kaikki UC-sovellusten sertifikaatit julkisen varmenteen myöntäjän (CA) avulla.
Dedikoitu ilmentymä – porttinumerot ja protokollat
Seuraavissa taulukoissa kuvataan erillisessä ilmentymässä tuetut portit ja protokollat. Tietylle asiakkaalle käytettävät portit riippuvat asiakkaan käyttöönotosta ja ratkaisusta. Protokollat riippuvat asiakkaan mieltymyksistä (SCCP vs. SIP), olemassa olevista paikallisista laitteista ja siitä, millä suojaustasolla määritellään, mitä portteja käytetään kussakin käyttöönotossa.
Dedikoitu ilmentymä ei salli verkko-osoitteiden käännöstä (NAT) päätepisteiden ja yhdistetyn CM:n välillä, koska jotkin puhelunkulun ominaisuudet eivät toimi, esimerkiksi puhelun puoliväliominaisuus. |
Dedikoitu ilmentymä – asiakasportit
Asiakkaiden käytettävissä olevat portit - asiakkaan paikan päällä olevan ja erillisen ilmentymän välillä on esitetty taulukossa 1 Dedikoidut instanssiasiakasportit. Kaikki alla luetellut portit on tarkoitettu peering-linkkien kautta kulkevalle asiakasliikenteelle.
SNMP-portti on oletusarvoisesti avoinna vain Cisco Emergency Responderille, joka tukee sen toimintoja. Koska emme tue kumppaneita tai asiakkaita, jotka valvovat Dedicated Instance -pilvessä otettuja UC-sovelluksia, emme salli SNMP-portin avaamista muille UC-sovelluksille. |
Cisco on varannut portit 5063–5080 muille pilviintegroinneille. Kumppanien tai asiakkaiden järjestelmänvalvojia ei suositella käyttämään näitä portteja kokoonpanoissaan. |
pöytäkirja | TCP/UDP | Lähde | Kohde | Lähdeportti | Kohdeportti | Tarkoitus | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Asiakas |
UC-sovellukset
|
Yli 1023 |
22 |
Hallinto |
||
TFTP |
UDP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
69 |
Vanha päätepisteen tuki |
||
LDAP |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Yli 1023 |
389 |
Hakemiston synkronointi asiakkaan LDAP:hen |
||
HTTPS |
TCP |
Selain |
UC-sovellukset |
Yli 1023 |
443 |
Verkkoyhteys itsehoito- ja hallintoliittymiin |
||
Lähtevä posti (TURVALLINEN) |
TCP |
UC-sovellus |
CUCxn |
Yli 1023 |
587 |
Käytetään suojattujen viestien kirjoittamiseen ja lähettämiseen kaikille nimetyille vastaanottajille |
||
LDAP (TURVALLINEN) |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Yli 1023 |
636 |
Hakemiston synkronointi asiakkaan LDAP:hen |
||
H323 |
TCP |
Gateway |
Yhtenäinen CM |
Yli 1023 |
1720 |
Kutsumerkinanto |
||
H323 |
TCP |
Yhtenäinen CM |
Yhtenäinen CM |
Yli 1023 |
1720 |
Kutsumerkinanto |
||
SCCP |
TCP |
Päätepiste |
Unified CM, CUCxn |
Yli 1023 |
2000 |
Kutsumerkinanto |
||
SCCP |
TCP |
Yhtenäinen CM |
Unified CM, Gateway |
Yli 1023 |
2000 |
Kutsumerkinanto |
||
MGCP |
UDP |
Gateway |
Gateway |
Yli 1023 |
2427 |
Kutsumerkinanto |
||
MGCP backhaul |
TCP |
Gateway |
Yhtenäinen CM |
Yli 1023 |
2428 |
Kutsumerkinanto |
||
SCCP (SECURE) |
TCP |
Päätepiste |
Unified CM, CUCxn |
Yli 1023 |
2443 |
Kutsumerkinanto |
||
SCCP (SECURE) |
TCP |
Yhtenäinen CM |
Unified CM, Gateway |
Yli 1023 |
2443 |
Kutsumerkinanto |
||
Luottamuksen vahvistus |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
2445 |
Luottamuksen vahvistuspalvelun tarjoaminen päätepisteille |
||
CTI |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
2748 |
Yhteys CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välillä |
||
Turvallinen CTI |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
2749 |
Suojattu yhteys CTI-sovellusten (JTAPI/TSP) ja CTIManagerin välillä |
||
LDAP maailmanlaajuinen katalogi |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Yli 1023 |
3268 |
Hakemiston synkronointi asiakkaan LDAP:hen |
||
LDAP maailmanlaajuinen katalogi |
TCP |
UC-sovellukset |
Ulkoinen hakemisto |
Yli 1023 |
3269 |
Hakemiston synkronointi asiakkaan LDAP:hen |
||
CAPF palvelu |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
3804 |
Certificate Authority Proxy Function (CAPF) -kuunteluportti paikallisesti merkittävien sertifikaattien (LSC) myöntämiseen IP-puhelimille |
||
SIEMAILLA |
TCP |
Päätepiste |
Unified CM, CUCxn |
Yli 1023 |
5060 |
Kutsumerkinanto |
||
SIEMAILLA |
TCP |
Yhtenäinen CM |
Unified CM, Gateway |
Yli 1023 |
5060 |
Kutsumerkinanto |
||
SIP (TURVALLINEN) |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
5061 |
Kutsumerkinanto |
||
SIP (TURVALLINEN) |
TCP |
Yhtenäinen CM |
Unified CM, Gateway |
Yli 1023 |
5061 |
Kutsumerkinanto |
||
SIP (OAUTH) |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
5090 |
Kutsumerkinanto |
||
XMPP |
TCP |
Jabber-asiakas |
Cisco IM&P |
Yli 1023 |
5222 |
Pikaviestit ja läsnäolo |
||
HTTP |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
6970 |
Ladataan määrityksiä ja kuvia päätepisteisiin |
||
HTTPS |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
6971 |
Ladataan määrityksiä ja kuvia päätepisteisiin |
||
HTTPS |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
6972 |
Ladataan määrityksiä ja kuvia päätepisteisiin |
||
HTTP |
TCP |
Jabber-asiakas |
CUCxn |
Yli 1023 |
7080 |
Vastaajailmoitukset |
||
HTTPS |
TCP |
Jabber-asiakas |
CUCxn |
Yli 1023 |
7443 |
Suojatut vastaajailmoitukset |
||
HTTPS |
TCP |
Yhtenäinen CM |
Yhtenäinen CM |
Yli 1023 |
7501 |
Käyttää Intercluster Lookup Service (ILS) varmennepohjaiseen todentamiseen |
||
HTTPS |
TCP |
Yhtenäinen CM |
Yhtenäinen CM |
Yli 1023 |
7502 |
ILS käyttää sitä salasanapohjaiseen todentamiseen |
||
IMAP |
TCP |
Jabber-asiakas |
CUCxn |
Yli 1023 |
7993 |
IMAP TLS:n kautta |
||
HTTP |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
8080 |
Hakemiston URI vanhalle päätepistetuelle |
||
HTTPS |
TCP |
Selain, päätepiste |
UC-sovellukset |
Yli 1023 |
8443 |
Web-yhteys itsehoito- ja hallintoliittymiin, UDS |
||
HTTPS |
TCP |
Puhelin |
Yhtenäinen CM |
Yli 1023 |
9443 |
Todennettu yhteystietojen haku |
||
HTTPs |
TCP |
Päätepiste |
Yhtenäinen CM |
Yli 1023 |
9444 |
Kuulokkeiden hallintaominaisuus |
||
Suojattu RTP/SRTP |
UDP |
Yhtenäinen CM |
Puhelin |
16384 - 32767 * |
16384 - 32767 * |
Media (ääni) – Music On Hold, Annunciator, Software Conference Bridge (avoinna puhelusignaloinnin perusteella) |
||
Suojattu RTP/SRTP |
UDP |
Puhelin |
Yhtenäinen CM |
16384 - 32767 * |
16384 - 32767 * |
Media (ääni) – Music On Hold, Annunciator, Software Conference Bridge (avoinna puhelusignaloinnin perusteella) |
||
COBRAS |
TCP |
Asiakas |
CUCxn |
Yli 1023 |
20532 |
Varmuuskopioi ja palauta Application Suite |
||
ICMP |
ICMP |
Päätepiste |
UC-sovellukset |
n/a |
n/a |
Ping |
||
ICMP |
ICMP |
UC-sovellukset |
Päätepiste |
n/a |
n/a |
Ping |
||
DNS | UDP ja TCP | DNS-lähetin |
Dedikoidut esiintymän DNS-palvelimet |
Yli 1023 |
53 | Asiakastilojen DNS-välittäjät Dedicated Instance DNS -palvelimille. Katso DNS-vaatimukset Lisätietoja. |
||
* Tietyt erikoistapaukset voivat käyttää suurempaa kantamaa. |
Dedikoitu ilmentymä – OTT-portit
Asiakkaat ja kumppanit voivat käyttää seuraavaa porttia mobiili- ja etäkäytön (MRA) määrittämiseen:
pöytäkirja | TCP/UCP | Lähde | Kohde | Lähdeportti | Kohdeportti | Tarkoitus |
---|---|---|---|---|---|---|
TURVALLINEN RTP/RTCP |
UDP |
Moottoritie C |
Asiakas |
Yli 1023 |
36000-59999 |
Suojattu media MRA- ja B2B-puheluille |
Inter-op SIP-runko Multitenantin ja Dedicated Instancen välillä (vain rekisteröintipohjaiselle rungolle)
Seuraava luettelo porteista on sallittava asiakkaan palomuurissa rekisteröintipohjaisessa SIP-rungossa, joka yhdistää monivuokralaisen ja erillisen ilmentymän.
pöytäkirja | TCP/UCP | Lähde | Kohde | Lähdeportti | Kohdeportti | Tarkoitus |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Asiakas |
Yli 1023 |
8000-48198 |
Media Webex Calling Multitenantilta |
Dedikoitu ilmentymä – UCCX-portit
Asiakkaat ja yhteistyökumppanit voivat käyttää seuraavaa porttiluetteloa UCCX:n määrittämiseen.
pöytäkirja | TCP / UCP | Lähde | Kohde | Lähdeportti | Kohdeportti | Tarkoitus |
---|---|---|---|---|---|---|
SSH |
TCP |
Asiakas |
UCCX |
Yli 1023 |
22 |
SFTP ja SSH |
Informix |
TCP |
Asiakas tai palvelin |
UCCX |
Yli 1023 |
1504 |
Contact Center Express -tietokantaportti |
SIEMAILLA |
UDP ja TCP |
SIP GW tai MCRP-palvelin |
UCCX |
Yli 1023 |
5065 |
Tiedonsiirto GW- ja MCRP-etäsolmuihin |
XMPP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
5223 |
Suojattu XMPP-yhteys Finesse-palvelimen ja mukautettujen kolmannen osapuolen sovellusten välillä |
CVD |
TCP |
Asiakas |
UCCX |
Yli 1023 |
6999 |
CCX-sovellusten editori |
HTTPS |
TCP |
Asiakas |
UCCX |
Yli 1023 |
7443 |
Suojattu BOSH-yhteys Finesse-palvelimen ja agentti- ja valvojan työasemien välillä HTTPS-viestintään |
HTTP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8080 |
Live-tietojen raportointiasiakkaat muodostavat yhteyden socket.IO-palvelimeen |
HTTP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8081 |
Asiakasselain yrittää käyttää Cisco Unified Intelligence Center -verkkokäyttöliittymää |
HTTP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8443 |
Admin GUI, RTMT, DB pääsy SOAPin kautta |
HTTPS |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8444 |
Cisco Unified Intelligence Center -verkkokäyttöliittymä |
HTTPS |
TCP |
Selain ja REST-asiakkaat |
UCCX |
Yli 1023 |
8445 |
Suojattu portti Finesselle |
HTTPS |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8447 |
HTTPS – Unified Intelligence Centerin online-ohje |
HTTPS |
TCP |
Asiakas |
UCCX |
Yli 1023 |
8553 |
Kertakirjautumiskomponentit (SSO) käyttävät tätä käyttöliittymää tietääkseen Cisco IdS:n toimintatilan. |
HTTP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
9080 |
Asiakkaat, jotka yrittävät käyttää HTTP-laukaisimia tai asiakirjoja / kehotteita / kielioppeja / live-tietoja. |
HTTPS |
TCP |
Asiakas |
UCCX |
Yli 1023 |
9443 |
Suojattu portti, jota käytetään vastaamaan asiakkaille, jotka yrittävät käyttää HTTPS-laukaisimia |
TCP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
12014 |
Tämä on portti, jossa reaaliaikaisen datan raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen |
TCP |
TCP |
Asiakas |
UCCX |
Yli 1023 |
12015 |
Tämä on portti, jossa reaaliaikaisen datan raportointiasiakkaat voivat muodostaa yhteyden socket.IO-palvelimeen |
CTI |
TCP |
Asiakas |
UCCX |
Yli 1023 |
12028 |
Kolmannen osapuolen CTI-asiakas CCX:lle |
RTP (media) |
TCP |
Päätepiste |
UCCX |
Yli 1023 |
Yli 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
RTP (media) |
TCP |
Asiakas |
Päätepiste |
Yli 1023 |
Yli 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
Asiakkaan turvallisuus
Jabberin ja Webexin suojaaminen SIP OAuthilla
Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnuksella paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei edellytä sertifikaatin myöntäjän välityspalvelimen (CAPF) käyttöönottoa (myös MRA:lle). SIP OAuth, joka toimii sekatilassa tai ilman sitä, otettiin käyttöön Cisco Unified CM 12.5(1), Jabber 12.5:ssä ja Expressway X12.5:ssä.
Cisco Unified CM 12.5:ssä meillä on uusi vaihtoehto Phone Security Profile -profiilissa, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä yhtä Transport Layer Security (TLS) + OAuth-tunnusta SIP-REKISTERISSÄ. Expressway-C-solmut käyttävät Administrative XML Web Service (AXL) API:ta ilmoittaakseen Cisco Unified CM:lle SN/SAN:n varmenteessa. Cisco Unified CM käyttää näitä tietoja Exp-C-sertifikaatin vahvistamiseen, kun se muodostaa keskinäisen TLS-yhteyden.
SIP OAuth mahdollistaa median ja signaloinnin salauksen ilman päätepistevarmennetta (LSC).
Cisco Jabber käyttää lyhytaikaisia portteja ja suojattuja portteja 6971 ja 6972 HTTPS-yhteyden kautta TFTP-palvelimeen määritystiedostojen lataamiseen. Portti 6970 on suojaamaton portti, joka voidaan ladata HTTP:n kautta.
Lisätietoja SIP OAuth -määrityksestä: SIP OAuth -tila.
DNS-vaatimukset
Cisco tarjoaa erilliselle ilmentymälle FQDN:n palvelulle jokaisella alueella seuraavassa muodossa <customer>.<region>.wxc-di.webex.com esimerkiksi, xyz.amer.wxc-di.webex.com.
"Asiakas"-arvon antaa järjestelmänvalvoja osana ohjattua First Time Setup Wizard -toimintoa (FTSW). Lisätietoja saat osoitteesta Dedikoidun ilmentymän palvelun aktivointi.
Tämän FQDN:n DNS-tietueiden on oltava selvitettävissä asiakkaan sisäisestä DNS-palvelimesta, jotta ne tukevat paikallisia laitteita, jotka yhdistävät omistettuun ilmentymään. Ratkaisun helpottamiseksi asiakkaan on määritettävä tälle FQDN:lle ehdollinen edelleenlähetin DNS-palvelimelleen, joka osoittaa Dedicated Instance DNS -palveluun. Dedicated Instance DNS -palvelu on alueellinen, ja se voidaan saavuttaa erillisen ilmentymän peeringin kautta käyttämällä seuraavia IP-osoitteita alla olevan taulukon mukaisesti Dedikoitu esiintymän DNS-palvelun IP-osoite.
Alue/DC | Dedikoitu esiintymän DNS-palvelun IP-osoite | Esimerkki ehdollisesta edelleenlähetyksestä |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SYNTI |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping-vaihtoehto on poistettu käytöstä yllä mainituille DNS-palvelimen IP-osoitteille turvallisuussyistä. |
Ennen kuin ehdollinen edelleenlähetys on käytössä, laitteet eivät voi rekisteröityä Dedikoituun ilmentymään asiakkaan sisäisestä verkosta peering-linkkien kautta. Ehdollista edelleenlähetystä ei vaadita rekisteröintiä varten Mobile and Remote Accessin (MRA) kautta, koska Cisco toimittaa valmiiksi kaikki tarvittavat ulkoiset DNS-tietueet MRA:n helpottamiseksi.
Kun käytät Webex-sovellusta kutsuvana ohjelmistona erillisessä ilmentymässä, UC Manager -profiili on määritettävä Control Hubissa kunkin alueen puhepalvelualueelle (VSD). Lisätietoja saat osoitteesta UC Manager -profiilit Cisco Webex Control Hubissa. Webex-sovellus pystyy ratkaisemaan automaattisesti asiakkaan Expressway Edgen ilman loppukäyttäjän toimenpiteitä.
Voice Service Domain toimitetaan asiakkaalle osana kumppanin käyttöoikeusasiakirjaa, kun palvelu on aktivoitu. |
Viitteet
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), suojausaihe: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Suojausopas Cisco Unified Communications Managerille: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html