- Etusivu
- /
- Artikkeli
Dedicated Instance -ratkaisun verkko- ja tietoturvavaatimukset ovat monikerroksinen lähestymistapa ominaisuuksiin ja toimintoihin, jotka tarjoavat turvallisen fyysisen pääsyn, verkon, päätelaitteiden ja Cisco UC -sovellusten. Siinä kuvataan verkkovaatimukset ja luetellaan osoitteet, portit ja protokollat, joita käytetään päätepisteiden yhdistämiseen palveluihin.
Dedikoidun instanssin verkkovaatimukset
Webex Calling Dedicated Instance on osa Cisco Cloud Calling -valikoimaa, joka perustuu Cisco Unified Communications Manager (Cisco Unified CM) -yhteistyötekniikkaan. Dedicated Instance tarjoaa ääni-, video-, viestintä- ja mobiiliratkaisuja, joissa on Ciscon IP-puhelimien, mobiililaitteiden ja työpöytäasiakkaiden ominaisuudet ja edut, jotka muodostavat suojatun yhteyden dedikoituun instanssiin.
Tämä artikkeli on tarkoitettu verkonvalvojille, erityisesti palomuurin ja välityspalvelimen suojauksen järjestelmänvalvojille, jotka haluavat käyttää erillistä esiintymää organisaatiossaan.
Suojauksen yleiskatsaus: Turvallisuus kerroksittain
Dedikoitu instanssi käyttää kerrostettua lähestymistapaa suojaukseen. Kerrokset sisältävät:
-
Fyysinen pääsy
-
Verkko
-
Päätepisteet
-
UC-sovellukset
Seuraavissa osissa kuvataan Dedicated Instance -käyttöönottojen suojaustasot.
Fyysinen turvallisuus
Equinix Meet-Me Room -paikkojen ja Cisco Dedicated Instance Data Center -tilojen fyysinen turvallisuus on tärkeää. Kun fyysinen turvallisuus vaarantuu, voidaan käynnistää yksinkertaisia hyökkäyksiä, kuten palvelun keskeytyminen katkaisemalla virta asiakkaan kytkimistä. Fyysisen pääsyn avulla hyökkääjät voivat päästä palvelinlaitteisiin, nollata salasanoja ja päästä käsiksi kytkimiin. Fyysinen pääsy helpottaa myös kehittyneempiä hyökkäyksiä, kuten mies välissä -hyökkäyksiä, minkä vuoksi toinen suojauskerros, verkon turvallisuus, on kriittinen.
Itsesalaavia asemia käytetään yhdistetyn viestinnän sovelluksia isännöivissä erillisissä instanssipalvelinkeskuksissa.
Lisätietoja yleisistä tietoturvakäytännöistä on seuraavassa sijainnissa olevissa ohjeissa: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Verkon turvallisuus
Kumppaneiden on varmistettava, että kaikki verkkoelementit on suojattu Dedicated Instance -infrastruktuurissa (joka muodostaa yhteyden Equinixin kautta). Kumppanin vastuulla on varmistaa turvallisuuden parhaat käytännöt, kuten:
-
Erillinen VLAN äänelle ja datalle
-
Ota käyttöön porttisuojaus, joka rajoittaa porttia kohden sallittujen MAC-osoitteiden määrää CAM-taulukon tulvimista vastaan
-
IP-lähteiden suojaus väärennetyiltä IP-osoitteilta
-
Dynaaminen ARP-tarkastus (DAI) tutkii osoitteenratkaisuprotokollan (ARP) ja maksuttoman ARP: n (GARP) rikkomusten varalta (ARP-huijausta vastaan)
-
802.1x rajoittaa verkon käyttöä määritettyjen VLAN-verkkojen laitteiden todentamiseen (puhelimet tukevat 802.1x-versiota)
-
Palvelun laadun (QoS) konfigurointi äänipakettien asianmukaista merkitsemistä varten
-
Palomuuriporttimääritykset muun liikenteen estämiseksi
Päätepisteiden suojaus
Ciscon päätepisteet tukevat oletussuojausominaisuuksia, kuten allekirjoitettua laiteohjelmistoa, suojattua käynnistystä (tietyt mallit), valmistajan asentamaa varmennetta (MIC) ja allekirjoitettuja määritystiedostoja, jotka tarjoavat päätepisteille tietyn suojaustason.
Lisäksi kumppani tai asiakas voi ottaa käyttöön lisäsuojausta, kuten:
-
Salaa IP-puhelinpalvelut (HTTPS:n kautta) palveluille, kuten Extension Mobility
-
Paikallisesti merkittävien varmenteiden myöntäminen varmenteen myöntäjän välityspalvelimelta (CAPF) tai julkiselta varmenteiden myöntäjältä (CA)
-
Salaa määritystiedostot
-
Salaa media ja signalointi
-
Poista nämä asetukset käytöstä, jos niitä ei käytetä: PC-portti, PC Voice VLAN -käyttö, maksuton ARP, Web-yhteys, Asetukset-painike, SSH, konsoli
Suojausmekanismien käyttöönotto erillisessä instanssissa estää puhelimien ja Unified CM -palvelimen identiteettivarkaudet, tietojen peukaloinnin ja puhelusignaloinnin / mediavirran peukaloinnin .
Dedikoitu instanssi verkon kautta:
-
Luo ja ylläpitää todennettuja viestintävirtoja
-
Allekirjoittaa tiedostot digitaalisesti ennen tiedoston siirtämistä puhelimeen
-
Salaa mediavirrat ja puhelusignaloinnin Cisco Unified IP -puhelimien välillä
Suojaus sisältää oletusarvoisesti seuraavat automaattiset suojausominaisuudet Cisco Unified IP -puhelimille:
-
Puhelimen määritystiedostojen allekirjoittaminen
-
Puhelimen määritystiedostojen salauksen tuki
-
HTTPS Tomcatin ja muiden Web-palveluiden kanssa (MIDlets)
Unified CM Release 8.0:ssa nämä suojausominaisuudet ovat oletusarvoisesti käytettävissä suorittamatta CTL (Certificate Trust List) -asiakasta.
Luottamuksen vahvistuspalveluKoska verkossa on suuri määrä puhelimia ja IP-puhelimissa on rajoitetusti muistia, Cisco Unified CM toimii etäluottamussäilönä Trust Verification Service (TVS) -palvelun kautta, joten varmenteiden luottamussäilöä ei tarvitse sijoittaa jokaiseen puhelimeen. Ciscon IP-puhelimet ottavat yhteyttä TVS-palvelimeen vahvistusta varten, koska ne eivät voi vahvistaa allekirjoitusta tai varmennetta CTL- tai ITL-tiedostojen kautta. Keskitettyä luottamussäilöä on helpompi hallita kuin luottamussäilöä jokaisessa Cisco Unified IP -puhelimessa.
TVS:n avulla Cisco Unified IP -puhelimet voivat todentaa sovelluspalvelimia, kuten EM-palveluita, hakemistoja ja MIDlet-komentoja, HTTPS:n perustamisen aikana.
Alkuperäinen luottamusluetteloITL (Initial Trust List) -tiedostoa käytetään ensimmäiseen suojaukseen, jotta päätepisteet voivat luottaa Cisco Unified CM:ään. ITL ei tarvitse mitään suojausominaisuuksia ottaakseen ne nimenomaisesti käyttöön. ITL-tiedosto luodaan automaattisesti, kun klusteri asennetaan. Unified CM Trivial File Transfer Protocol (TFTP) -palvelimen yksityistä avainta käytetään ITL-tiedoston allekirjoittamiseen.
Kun Cisco Unified CM -klusteri tai -palvelin on suojaamattomassa tilassa, ITL-tiedosto ladataan kaikkiin tuettuihin Cisco IP -puhelimiin. Kumppani voi tarkastella ITL-tiedoston sisältöä CLI-komennolla admin:show itl.
Ciscon IP-puhelimet tarvitsevat ITL-tiedoston seuraavien tehtävien suorittamiseen:
-
Kommunikoi turvallisesti CAPF:n kanssa, mikä on edellytys määritystiedostojen salauksen tukemiselle
-
Todenna määritystiedoston allekirjoitus
-
Todenna sovelluspalvelimet, kuten EM-palvelut, hakemistot ja MIDlet, HTTPS:n muodostamisen aikana TVS:n avulla
Laite-, tiedosto- ja signalointitodennus perustuu CTL (Certificate Trust List) -tiedoston luontiin, joka luodaan, kun kumppani tai asiakas asentaa ja määrittää Cisco Certificate Trust List -asiakkaan.
CTL-tiedosto sisältää merkinnät seuraaville palvelimille tai suojaustunnuksille:
-
Järjestelmänvalvojan suojaustunnus (SAST)
-
Cisco CallManager- ja Cisco TFTP -palvelut, jotka toimivat samassa palvelimessa
-
Varmenteen myöntäjän välityspalvelintoiminto (CAPF)
-
TFTP-palvelime(t)
-
ASA-palomuuri
CTL-tiedosto sisältää palvelinvarmenteen, julkisen avaimen, sarjanumeron, allekirjoituksen, myöntäjän nimen, aiheen nimen, palvelintoiminnon, DNS-nimen ja IP-osoitteen kullekin palvelimelle.
Puhelimen suojaus CTL: llä tarjoaa seuraavat toiminnot:
-
TFTP-ladattujen tiedostojen (konfiguraatio, alue, soittolista jne.) autentikointi allekirjoitusavaimella
-
TFTP-konfiguraatiotiedostojen salaus allekirjoitusavaimella
-
Salattu puhelusignalointi IP-puhelimille
-
Salattu puheluääni (media) IP-puhelimille
Dedikoitu instanssi tarjoaa päätepisteiden rekisteröinnin ja puhelujen käsittelyn. Cisco Unified CM:n ja päätepisteiden välinen signalointi perustuu SCCP (Secure Skinny Client Control Protocol)- tai SIP (Session Initiation Protocol) -protokollaan, ja se voidaan salata TLS (Transport Layer Security) -salauksella. Media päätepisteistä/päätepisteisiin perustuu RTP (Real-time Transport Protocol) -protokollaan, ja se voidaan myös salata SRTP:llä (Secure RTP).
Yhdistelmätilan ottaminen käyttöön Unified CM:ssä mahdollistaa Ciscon päätepisteistä lähtevän ja niihin saapuvan signaloinnin ja medialiikenteen salauksen.
Suojatut yhdistetyn viestinnän sovellukset
Sekatilan ottaminen käyttöön erillisessä instanssissaYhdistelmätila on oletusarvoisesti käytössä Dedicated Instancessa.
Kun yhdistelmätila otetaan käyttöön Dedicated Instance -toiminnossa, Ciscon päätepisteistä lähtevä ja niihin saapuva signalointi- ja medialiikenne voidaan salata.
Cisco Unified CM -julkaisussa 12.5(1) Jabber- ja Webex-asiakkaille lisättiin uusi vaihtoehto, joka mahdollistaa SIP OAuth -pohjaisen signaloinnin ja median salauksen sekatilan / CTL: n sijaan. Tämän vuoksi Unified CM:n versiossa 12.5(1) SIP OAuthia ja SRTP:tä voidaan käyttää signaloinnin ja median salauksen käyttöönottoon Jabber- tai Webex-asiakkaille. Sekatilan käyttöönotto on edelleen tarpeen Cisco IP -puhelimissa ja muissa Ciscon päätepisteissä tällä hetkellä. SIP OAuth -tuki on tarkoitus lisätä 7800/8800-päätepisteisiin tulevassa versiossa.
Ääniviestien suojausCisco Unity Connection muodostaa yhteyden Unified CM:ään TLS-portin kautta. Kun laitteen suojaustila ei ole turvallinen, Cisco Unity Connection muodostaa yhteyden Unified CM:ään SCCP-portin kautta.
Jos haluat määrittää suojauksen Unified CM -ääniviestiporteille ja Cisco Unity -laitteille, joissa on käytössä SCCP- tai Cisco Unity Connection -laitteita, joissa on käytössä SCCP, kumppani voi valita portille suojatun laitteen suojaustilan. Jos valitset todennetun vastaajaportin, avautuu TLS-yhteys, joka todentaa laitteet keskinäisen varmenteiden vaihdon avulla (kumpikin laite hyväksyy toisen laitteen varmenteen). Jos valitset salatun vastaajaportin, järjestelmä todentaa ensin laitteet ja lähettää sitten salattuja äänivirtoja laitteiden välillä.
Lisätietoja äänen suojausporteista on seuraavissa artikkeleissa: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST:n, runkojen, yhdyskäytävien, CUBE/SBC:n suojaus
SRST (Cisco Unified Survivable Remote Site Telephony) -yhdyskäytävä tarjoaa rajoitettuja puhelunkäsittelytehtäviä, jos Cisco Unified CM erillisessä esiintymässä ei pysty suorittamaan puhelua loppuun.
Suojatut SRST-yhdyskäytävät sisältävät itse allekirjoitetun varmenteen. Kun kumppani on suorittanut SRST-määritystehtäviä Unified CM -hallinnassa, Unified CM käyttää TLS-yhteyttä todennukseen varmenteiden toimittajapalvelun kanssa SRST:tä käyttävässä yhdyskäytävässä. Unified CM noutaa sitten varmenteen SRST:tä käyttävästä yhdyskäytävästä ja lisää varmenteen Unified CM -tietokantaan.
Kun kumppani on nollannut riippuvaiset laitteet Unified CM Administrationissa, TFTP-palvelin lisää SRST:tä tukevan yhdyskäytävävarmenteen puhelimen cnf.xml tiedostoon ja lähettää tiedoston puhelimeen. Suojattu puhelin käyttää sitten TLS-yhteyttä vuorovaikutuksessa SRST-yhteensopivan yhdyskäytävän kanssa.
Cisco Unified CM:stä yhdyskäytävään lähtevää PSTN-puhelua tai Cisco Unified Border Element (CUBE) -elementin kautta kulkevaa puhelua varten on suositeltavaa käyttää suojattuja runkoja.
SIP-rungot voivat tukea suojattuja puheluita sekä signalointiin että mediaan; TLS tarjoaa signalointisalauksen ja SRTP tarjoaa median salauksen.
Cisco Unified CM:n ja CUBE:n välisen tietoliikenteen suojaaminen
Cisco Unified CM:n ja CUBE:n välisessä suojatussa viestinnässä kumppaneiden/asiakkaiden on käytettävä joko itse allekirjoitettua varmennetta tai CA:n allekirjoittamia varmenteita.
Itse allekirjoitetut varmenteet:
-
CUBE ja Cisco Unified CM luovat itse allekirjoitettuja varmenteita
-
CUBE vie sertifikaatin Cisco Unified CM:ään
-
Cisco Unified CM vie sertifikaatin CUBEen
Varmenteet, joiden myöntäjä on allekirjoittanut:
-
Asiakas luo avainparin ja lähettää varmenteen allekirjoituspyynnön (CSR) varmenteen myöntäjälle (CA)
-
Varmentaja allekirjoittaa sen yksityisellä avaimellaan ja luo henkilöllisyysvarmenteen
-
Asiakas asentaa luotettujen CA-pää- ja välittäjävarmenteiden luettelon sekä identiteettivarmenteen
Etäpäätepisteiden suojaus
MRA (Mobile and Remote Access) -päätepisteissä signalointi ja media salataan aina MRA-päätepisteiden ja Expressway-solmujen välillä. Jos MRA-päätepisteissä käytetään Interactive Connectivity Establishment (ICE) -protokollaa, MRA-päätepisteiden signalointi ja median salaus vaaditaan. Signaloinnin ja median salaus Expressway-C:n ja sisäisten Unified CM -palvelimien, sisäisten päätepisteiden tai muiden sisäisten laitteiden välillä edellyttää kuitenkin yhdistelmätilaa tai SIP OAuth -tekniikkaa.
Cisco Expressway tarjoaa suojatun palomuurin läpikulun ja rivipuolen tuen Unified CM -rekisteröinneille. Unified CM tarjoaa puhelunhallinnan sekä liikkuville että paikallisille päätepisteille. Signalointi kulkee Expressway-ratkaisun läpi etäpäätepisteen ja Unified CM:n välillä. Media kulkee Expressway-ratkaisun läpi ja välittyy suoraan päätepisteiden välillä. Kaikki media salataan Expressway-C:n ja mobiilipäätepisteen välillä.
Kaikki MRA-ratkaisut edellyttävät Expressway- ja Unified CM -ratkaisuja sekä MRA-yhteensopivia pehmeitä asiakkaita ja/tai kiinteitä päätepisteitä. Ratkaisu voi valinnaisesti sisältää pikaviesti- ja tavoitettavuuspalvelun sekä yhtenäisyysyhteyden.
Protokollan yhteenveto
Seuraavassa taulukossa esitetään Unified CM -ratkaisussa käytetyt protokollat ja niihin liittyvät palvelut.
Protokolla |
Suojaus |
Palvelu |
---|---|---|
SIEMAILLA |
TLS |
Istunnon perustaminen: Rekisteröidy, kutsu jne. |
HTTPS |
TLS |
Kirjautuminen, valmistelu/määritys, hakemisto, visuaalinen vastaaja |
Media |
SRTP |
Media: Ääni, video, sisällön jakaminen |
XMPP |
TLS |
Pikaviestit, tavoitettavuus, liittoutuminen |
Lisätietoja MRA-määrityksestä: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Määritysvaihtoehdot
Dedikoitu instanssi tarjoaa kumppanille joustavuutta palvelujen mukauttamiseen loppukäyttäjille toisen päivän määritysten täyden hallinnan avulla. Tämän seurauksena kumppani on yksin vastuussa Dedicated Instance -palvelun asianmukaisesta määrittämisestä loppukäyttäjän ympäristöä varten. Tämä sisältää, mutta ei rajoitu:
-
Turvallisten/suojaamattomien puheluiden, suojattujen/suojaamattomien protokollien, kuten SIP/sSIP, http/https jne., valitseminen ja niihin liittyvien riskien ymmärtäminen.
-
Jos MAC-osoitetta ei ole määritetty suojatuksi SIP:ksi erillisessä esiintymässä, hyökkääjä voi lähettää SIP Register -viestin käyttämällä kyseistä MAC-osoitetta ja soittaa SIP-puheluita, mikä johtaa tietullipetoksiin. Edellytyksenä on, että hyökkääjä voi rekisteröidä SIP-laitteensa/ohjelmistonsa Dedicated Instanceen ilman lupaa, jos hän tietää Dedicated Instanceen rekisteröidyn laitteen MAC-osoitteen.
-
Expressway-E-puhelukäytännöt, muunnos- ja hakusäännöt on määritettävä tietullipetosten estämiseksi. Lisätietoja tietullipetosten estämisestä Expresswayn avulla on Collaboration SRND:n osioissa Security for Expressway C ja Expressway-E.
-
Soittosuunnitelman määritys sen varmistamiseksi, että käyttäjät voivat valita vain sallittuihin kohteisiin, kuten kieltää kansallisen/kansainvälisen valinnan, hätäpuhelut reititetään oikein jne. Lisätietoja soittosuunnitelmaa käyttävien rajoitusten käyttämisestä on Collaboration SRND -osion Soittosuunnitelma-osassa .
Suojattujen yhteyksien varmennevaatimukset dedikoidussa instanssissa
Dedikoidussa tapauksessa Cisco tarjoaa toimialueen ja allekirjoittaa kaikki UC-sovellusten varmenteet käyttämällä julkista varmenteiden myöntäjää (CA).
Dedikoitu instanssi – porttinumerot ja protokollat
Seuraavissa taulukoissa kuvataan portit ja protokollat, joita tuetaan erillisessä esiintymässä. Tietyn asiakkaan käyttämät portit määräytyvät asiakkaan käyttöönoton ja ratkaisun mukaan. Protokollat riippuvat asiakkaan mieltymyksistä (SCCP vs. SIP), olemassa olevista paikallisista laitteista ja kussakin käyttöönotossa käytettävien porttien määrittämisestä.
Dedikoitu instanssi ei salli verkko-osoitteiden muuntamista päätepisteiden ja Unified CM:n välillä, koska jotkin puhelunkulun ominaisuudet, kuten puhelun keskivaiheominaisuus, eivät toimi. |
Dedikoitu esiintymä – asiakasportit
Asiakkaiden käytettävissä olevat portit paikallisen asiakkaan ja varatun ilmentymän välillä näkyvät taulukossa 1 Varatun esiintymän asiakasportit. Kaikki alla luetellut portit on tarkoitettu peering-linkkien kautta kulkevalle asiakasliikenteelle.
SNMP-portti on oletusarvoisesti avoinna vain Cisco Emergency Responderille, jotta se tukee sen toimintoja. Koska emme tue kumppaneita tai asiakkaita, jotka valvovat Dedicated Instance -pilvessä käyttöön otettuja UC-sovelluksia, emme salli SNMP-portin avaamista muille yhdistetyn viestinnän sovelluksille. |
Cisco on varannut portit välillä 5063–5080 muille pilvi-integraatioille, kumppanien tai asiakkaiden järjestelmänvalvojia suositellaan, etteivät he käytä näitä portteja kokoonpanoissaan. |
Dedikoitu instanssi – OTT-portit
Asiakkaat ja kumppanit voivat käyttää seuraavaa porttia mobiili- ja etäkäytön (MRA) määritykseen:
Protokolla |
TCP/UCP |
Lähde |
Kohde |
Lähde-portti |
Kohdeportti |
Tarkoitus |
---|---|---|---|---|---|---|
SUOJATTU RTP/RTCP |
UDP |
Pikatie C |
Asiakas |
Suurempi kuin 1023 |
36000-59999 |
Suojattu media MRA- ja B2B-puheluille |
Inter-op SIP trunk Multitenantin ja Dedicated Instancen välillä (vain rekisteröintipohjaiselle trunkille)
Seuraava porttiluettelo on sallittava asiakkaan palomuurissa rekisteröintipohjaiselle SIP-rungolle, joka muodostaa yhteyden usean vuokraajan ja varatun esiintymän välillä.
Protokolla |
TCP/UCP |
Lähde |
Kohde |
Lähde-portti |
Kohdeportti |
Tarkoitus |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex-puhelu Multitenant |
Asiakas |
Suurempi kuin 1023 |
8000-48198 |
Webex Calling Multitenantin media |
Dedikoitu instanssi – UCCX-portit
Asiakkaat ja kumppanit voivat käyttää seuraavaa porttiluetteloa UCCX:n määrittämiseen.
Protokolla |
TCP / UCP |
Lähde |
Kohde |
Lähde-portti |
Kohdeportti |
Tarkoitus |
---|---|---|---|---|---|---|
SSH |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
22 |
SFTP ja SSH |
Informix |
TCP |
Asiakas tai palvelin |
UCCX |
Suurempi kuin 1023 |
1504 |
Contact Center Express -tietokantaportti |
SIEMAILLA |
UDP ja TCP |
SIP GW- tai MCRP-palvelin |
UCCX |
Suurempi kuin 1023 |
5065 |
Tiedonsiirto GW- ja MCRP-etäsolmuihin |
XMPP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
5223 |
Suojattu XMPP-yhteys Finesse-palvelimen ja mukautettujen kolmannen osapuolen sovellusten välillä |
CVD |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
6999 |
Editori CCX-sovelluksiin |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
7443 |
Suojattu BOSH-yhteys Finesse-palvelimen sekä agentti- ja valvojatyöpöytien välillä tiedonsiirtoon HTTPS:n kautta |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8080 |
Live-tietojen raportointiohjelmat muodostavat yhteyden pistorasiaan. IO-palvelin |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8081 |
Asiakasselain, joka yrittää käyttää Cisco Unified Intelligence Center -verkkoliittymää |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8443 |
Järjestelmänvalvojan GUI-, RTMT- ja DB-käyttö SOAP: n kautta |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8444 |
Cisco Unified Intelligence Centerin verkkokäyttöliittymä |
HTTPS |
TCP |
Selain- ja REST-asiakkaat |
UCCX |
Suurempi kuin 1023 |
8445 |
Turvallinen portti Finesselle |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8447 |
HTTPS - Unified Intelligence Centerin online-ohje |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
8553 |
Single sign-on (SSO) -komponentit käyttävät tätä liittymää ja tietävät Cisco IdS:n toimintatilan. |
HTTP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
9080 |
Asiakkaat, jotka yrittävät käyttää HTTP-käynnistimiä tai asiakirjoja / kehotteita / kielioppeja / reaaliaikaisia tietoja. |
HTTPS |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
9443 |
Suojattu portti, jota käytetään vastaamaan asiakkaille, jotka yrittävät käyttää HTTPS-käynnistimiä |
TCP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12014 |
Tämä on portti, jossa reaaliaikaisten tietojen raportointiasiakkaat voivat muodostaa yhteyden pistorasiaan. IO-palvelin |
TCP |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12015 |
Tämä on portti, jossa reaaliaikaisten tietojen raportointiasiakkaat voivat muodostaa yhteyden pistorasiaan. IO-palvelin |
CTI |
TCP |
Asiakas |
UCCX |
Suurempi kuin 1023 |
12028 |
Kolmannen osapuolen CTI-asiakas CCX: ään |
RTP (media) |
TCP |
Päätepiste |
UCCX |
Suurempi kuin 1023 |
Suurempi kuin 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
RTP (media) |
TCP |
Asiakas |
Päätepiste |
Suurempi kuin 1023 |
Suurempi kuin 1023 |
Mediaportti avataan dynaamisesti tarpeen mukaan |
Asiakkaan tietoturva
Jabberin ja Webexin turvaaminen SIP OAuthilla
Jabber- ja Webex-asiakkaat todennetaan OAuth-tunnuksella paikallisesti merkittävän varmenteen (LSC) sijaan, mikä ei vaadi varmenteen myöntäjän välityspalvelintoiminnon (CAPF) käyttöönottoa (myös MRA:lle). SIP OAuth, joka toimii sekatilassa tai ilman, otettiin käyttöön Cisco Unified CM 12.5(1)-, Jabber 12.5- ja Expressway X12.5 -versioissa.
Cisco Unified CM 12.5:ssä meillä on uusi vaihtoehto puhelimen suojausprofiilissa, joka mahdollistaa salauksen ilman LSC/CAPF:ää käyttämällä yhtä Transport Layer Security (TLS) + OAuth -tunnusta SIP REGISTERissä. Expressway-C-solmut käyttävät AXL (Administrative XML Web Service) -ohjelmointirajapintaa ilmoittaakseen Cisco Unified CM:lle varmenteessaan olevan SN/SAN:n. Cisco Unified CM käyttää näitä tietoja Exp-C-varmenteen vahvistamiseen muodostaessaan molemminpuolista TLS-yhteyttä.
SIP OAuth mahdollistaa median ja signaloinnin salauksen ilman päätepistevarmennetta (LSC).
Cisco Jabber käyttää tilapäisiä portteja ja suojattuja portteja 6971 ja 6972 HTTPS-yhteyden kautta TFTP-palvelimeen asetustiedostojen lataamiseen. Portti 6970 on suojaamaton portti, joka voi ladata HTTP:n kautta.
Lisätietoja SIP OAuth -määrityksistä: SIP OAuth -tila.
DNS-vaatimukset
Dedikoidussa esiintymässä Cisco tarjoaa palvelun täydellisen toimialuenimen kullakin alueella seuraavassa muodossa <customer><region>: .. wxc-di.webex.com esimerkiksi xyz.amer.wxc-di.webex.com. </region></customer>
Järjestelmänvalvoja antaa asiakas-arvon osana ohjattua ensimmäistä asennustoimintoa (FTSW). Lisätietoja on kohdassa Dedicated Instance Service Activation.
Tämän täydellisen toimialuenimen DNS-tietueiden on oltava ratkaistavissa asiakkaan sisäisestä DNS-palvelimesta, jotta ne tukevat paikallisia laitteita, jotka muodostavat yhteyden erilliseen esiintymään. Ratkaisun helpottamiseksi asiakkaan on määritettävä tälle täydelliselle toimialuenimelle ehdollinen huolitsija DNS-palvelimelleen, joka osoittaa Dedicated Instance DNS -palveluun. Dedikoidun instanssin DNS-palvelu on alueellinen, ja siihen saa yhteyden käyttämällä seuraavia IP-osoitteita, jotka on mainittu alla olevassa taulukossa Dedikoidun instanssin DNS-palvelun IP-osoite.
Alue/DC | Dedikoidun esiintymän DNS-palvelun IP-osoite |
Esimerkki ehdollisesta edelleenlähetyksestä |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com</customer> | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com</customer> |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com</customer> |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com</customer> |
|
SYNTI |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com</customer> | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping-asetus on poistettu käytöstä yllä mainituissa DNS-palvelimen IP-osoitteissa turvallisuussyistä. |
Ennen kuin ehdollinen edelleenlähetys on käytössä, laitteet eivät voi rekisteröityä erilliseen instanssiin asiakkaan sisäisestä verkosta vertaislinkkien kautta. Ehdollista edelleenlähetystä ei vaadita rekisteröintiin mobiili- ja etäkäytön (MRA) kautta, koska Cisco valmistelee valmiiksi kaikki MRA:ta helpottavat ulkoiset DNS-tietueet.
Kun Webex-sovellusta käytetään kutsuvana ohjelma-asiakkaana Dedicated Instancessa, UC Manager -profiili on määritettävä ohjauskeskuksessa kunkin alueen puhepalvelutoimialueelle (VSD). Lisätietoja on kohdassa UC Manager -profiilit Cisco Webex Control Hubissa. Webex-sovellus pystyy automaattisesti ratkaisemaan asiakkaan Expressway Edgen ilman loppukäyttäjän toimia.
Puhepalvelun toimialue toimitetaan asiakkaalle osana kumppanin käyttöoikeusasiakirjaa, kun palvelun aktivointi on valmis. |
Käytä paikallista reititintä puhelimen DNS-selvitykseen
Puhelimissa, joilla ei ole pääsyä yrityksen DNS-palvelimiin, on mahdollista käyttää paikallista Cisco-reititintä DNS-pyyntöjen välittämiseen Dedicated Instance -pilvi-DNS:ään. Tämä poistaa tarpeen ottaa käyttöön paikallista DNS-palvelinta ja tarjoaa täyden DNS-tuen, mukaan lukien välimuisti.
Esimerkki kokoonpanosta :
!
IP-DNS-palvelin
IP-nimipalvelin <DI dns="" server="" ip="" dc1=""> <DI DNS Server IP DC2></DI>
!
Tämän käyttöönottomallin DNS-käyttö on puhelinkohtaista, ja sitä voidaan käyttää vain täydellisen toimialuenimen ratkaisemiseen asiakkaan dedikoidun esiintymän toimialueella. |
Viittaukset
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), tietoturva-aihe: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Cisco Unified Communications Managerin suojausopas: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html