- Accueil
- /
- Article
Réseau d’instance dédié et exigences de sécurité
Les exigences réseau et de sécurité pour la solution d’instance dédiée sont l’approche par couches des caractéristiques et fonctionnalités qui fournissent un accès physique sécurisé, le réseau, les points de terminaison et les applications de communications unifiées Cisco. Il décrit les exigences réseau et répertorie les adresses, les ports et les protocoles utilisés pour connecter vos terminaux aux services.
Configuration réseau requise pour l’instance dédiée
Webex Calling instance dédiée fait partie du portefeuille Cisco Cloud Calling, optimisé par la technologie de collaboration Cisco Unified Communications Manager (Cisco Unified CM). L’instance dédiée offre des solutions de voix, vidéo, messagerie et mobilité avec les fonctionnalités et les avantages des téléphones IP Cisco, des périphériques mobiles et des clients de bureau qui se connectent en toute sécurité à l’instance dédiée.
Cet article est destiné aux administrateurs réseau, en particulier les administrateurs de pare-feu et de sécurité proxy qui souhaitent utiliser l’instance dédiée au sein de leur organisation.
Aperçu de la sécurité : Sécurité par couches
L’instance dédiée utilise une approche en couches pour la sécurité. Les couches incluent :
-
Accès physique
-
Réseau
-
Points de destination
-
Applications UC
Les sections suivantes décrivent les couches de sécurité dans les déploiements d’instances dédiées.
Sécurité physique
Il est important d’assurer la sécurité physique aux emplacements de la salle Equinix Meet-Me et aux installations du Centre de données d’instance Dédié Cisco . Lorsque la sécurité physique est compromise, des attaques simples comme une interruption du service en fermant l’alimentation sur les commutateurs d’un client peuvent être initiées. Grâce à l’accès physique, les attaques peuvent avoir accès aux périphériques des serveurs, réinitialiser des mots de passe et accéder aux commutateurs. L’accès physique facilite également des attaques plus sophistiquées telles que les attaques d’attaques d’attaques intermédiaires, d’où la raison pour laquelle la seconde couche de sécurité, la sécurité du réseau, est essentielle.
Les lecteurs auto-cryptés sont utilisés dans les centres de données d’instance dédiés qui hébergent les applications de communications un peu plus récentes.
Pour plus d'informations sur les pratiques générales de sécurité, reportez-vous à la documentation à l'emplacement suivant : https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Sécurité du réseau
Les partenaires doivent s’assurer que tous les éléments réseau sont sécurisés dans l’infrastructure d’instance dédiée (qui se connecte via Equinix). Le partenaire a la responsabilité d’assurer les meilleures pratiques de sécurité telles que :
-
Séparer le VLAN pour la voix et les données
-
Activez Sécurité des ports qui limite le nombre d’adresses MAC autorisées par port, par rapport au tableau de caméra
-
Protection de source IP contre les adresses IP
-
L’inspection dynamique ARP (NEC) examine le protocole de résolution d’adresse (ARP) et l’ARP gratuit (GARP) pour les violations (contre l’usurpation d’adresse ARP)
-
802. limite l’accès1x au réseau pour authentifier les périphériques attribués sur les réseaux fixes (les téléphones sont en charge 802.1x)
-
Configuration de la qualité de service (QoS) pour le marquage approprié des paquets vocaux
-
Configurations des ports du pare-feu pour bloquer tout autre trafic
Sécurité des terminaux
Les points de terminaison Cisco supportent les fonctionnalités de sécurité par défaut telles que les microprogrammes signés, le démarrage sécurisé (modèles sélectionnés), le certificat installé par le fabricant (MIC) et les fichiers de configuration signés, qui fournissent un certain niveau de sécurité pour les points de terminaison.
De plus, un partenaire ou un client peut activer une sécurité supplémentaire, telle que :
-
Chiffrement des services téléphoniques IP (via HTTPS) pour les services tels que la Mobilité d’extension
-
Émettre des certificats localement significatifs (LSCS) à partir de la fonction de proxy de l’autorité de certification (CAPF) ou d’une autorité de certification publique (AC)
-
Crypter les fichiers de configuration
-
Chiffrement du média et de la signalisation
-
Désactivez ces paramètres s’ils ne sont pas utilisés : Port PC, Accès VLAN vocal PC, ARP gratuit, Accès Web, Bouton Paramètres, SSH, console
La mise en place de mécanismes de sécurité dans l’instance dédiée empêche l’usurpation d’identité des téléphones et du serveur Unified CM, la falsification des données et la signalisation d’appel/falsification des flux média.
Instance dédiée sur le réseau :
-
Établit et maintient des flux de communication authentifiés
-
Signe des fichiers numériquement avant de transférer le fichier sur le téléphone
-
Crypte les flux média et la signalisation des appels entre les Cisco Unified IP téléphoniques
La sécurité par défaut offre les fonctionnalités automatiques de sécurité suivantes Cisco Unified les téléphones IP suivants :
-
Signature des fichiers de configuration téléphoniques
-
Prise en charge du cryptage du fichier de configuration téléphonique
-
HTTPS avec Tomcat et autres services Web (MIDlets)
Pour Unified CM version 8.0 plus tard, ces fonctionnalités de sécurité sont fournies par défaut sans que le client Liste de confiance des certificats (CTL) ne soit en cours d’exécution.
Service de vérification de la confianceDu fait qu’il y a beaucoup de téléphones dans un réseau et que la mémoire est limitée, Cisco Unified CM agit comme un magasin de confiance à distance via le Service de vérification de la confiance (Trust Verification Service (TVS) afin qu’un magasin de certificats de confiance n’a pas à être placé sur chaque téléphone. Les téléphones IP Cisco contactent le serveur TVS pour vérification car ils ne peuvent pas vérifier une signature ou un certificat via les fichiers CTL ou ITL. Avoir un magasin de confiance central est plus facile à gérer que d’avoir la boutique de confiance sur Cisco Unified téléphone IP.
TVS permet aux Cisco Unified IP d’authentifier les serveurs d’applications, tels que les services EM, le répertoire et MIDlet, pendant l’installation HTTPS.
Liste de confiance initialeLe fichier de la liste de confiance initiale (ITL) est utilisé pour la sécurité initiale, afin que les points de terminaison peuvent faire confiance Cisco Unified CM. ItL n’a pas besoin de fonctionnalités de sécurité pour être activée explicitement. Le fichier ITL est automatiquement créé lorsque le cluster est installé. La clé privée du serveur Unified CM Trivial File Transfer Protocol (TFTP) est utilisée pour signer le fichier ITL.
Lorsque le cluster Cisco Unified CM ou le serveur est en mode non sécurisé, le fichier ITL est téléchargé sur tous les téléphones IP Cisco pris en charge. Un partenaire peut afficher le contenu d’un fichier ITL à l’aide de la commande CLI admin : afficher itl.
Les téléphones IP Cisco doivent avoir le fichier ITL pour effectuer les tâches suivantes :
-
Communiquez en toute sécurité au CAPF, un prérequis pour la prise en charge du chiffrement des fichiers de configuration
-
Authentifier la signature du fichier de configuration
-
Authentifier les serveurs d’applications, tels que les services EM, le répertoire et MIDlet au cours de l’installation HTTPS avec TVS
L’authentification du périphérique, du fichier et de la signalisation se base sur la création du fichier Liste de confiance des certificats (CTL), qui est créé lorsque le partenaire ou le client installe et configure le client liste de confiance des certificats Cisco.
Le fichier CTL contient les entrées pour les serveurs ou les jetons de sécurité suivants :
-
Jeton de sécurité de l’administrateur du système (SAST)
-
Cisco CallManager et les services Cisco TFTP qui sont en cours d’exécution sur le même serveur
-
Fonction du proxy de l’autorité de certification (CAPF)
-
Serveur(s) TFTP
-
Pare-feu ASA
Le fichier CTL contient un certificat de serveur, une clé publique, un numéro de série, une signature, le nom de l’émetteur, le nom du sujet, la fonction du serveur, le nom DNS et l’adresse IP de chaque serveur.
La sécurité téléphonique avec la CTL offre les fonctions suivantes :
-
Identification des fichiers téléchargés TFTP (configuration, paramètres locaux, liste de sonneries, et ainsi de suite) à l’aide d’une clé de signature
-
Cryptage des fichiers de configuration TFTP en utilisant une clé de signature
-
Signalisation d’appel chiffrée pour les téléphones IP
-
Audio des appels chiffrés (média) pour les téléphones IP
L’instance dédiée fournit l’inscription des points de terminaison et le traitement des appels. La signalisation entre Cisco Unified CM et les points de terminaison est basée sur secure Skinny Client Control Protocol (SCCP) ou Protocole d’initiation de session (SIP) et peut être cryptée en utilisant Transport Layer Security (TLS). Le média de/vers les points de terminaison est basé sur le protocole de transport en temps réel (RTP) et peut également être crypté en utilisant le protocole Secure RTP (SRTP).
Activer le mode mixte sur Unified CM active le chiffrement de la signalisation et du trafic média à partir et vers les points de terminaison Cisco.
Applications UC sécurisées
Activation du mode mixte dans l’instance dédiéeLe mode mixte est activé par défaut dans l’instance dédiée.
Activer le mode mixte dans l’instance dédiée active la possibilité d’effectuer le chiffrement du trafic de signalisation et des médias à partir et vers les points de terminaison Cisco.
Dans Cisco Unified CM version 12.5(1), une nouvelle option pour activer le chiffrement de la signalisation et des médias basés sur SIP OAuth au lieu du mode mixte/CTL a été ajoutée pour les clients Jabber et Webex. Par conséquent, dans Unified CM version 12.5(1), SIP OAuth et SRTP peuvent être utilisés pour activer le chiffrement pour la signalisation et les médias pour les clients Jabber et Webex. L’activation du mode mixte continue d’être requise pour les téléphones IP Cisco et autres points de terminaison Cisco pour le moment. Il existe un plan pour ajouter la prise en charge de SIP OAuth dans les points de terminaison 7800/8800 dans une prochaine version.
Sécurité de la messagerie vocaleCisco Unity Connection connecte à Unified CM via le port TLS. Lorsque le mode de sécurité du périphérique est non sécurisé, l Cisco Unity Connection connecte à Unified CM via le port SCCP.
Pour configurer la sécurité pour les ports de messagerie vocale Unified CM et les périphériques Cisco Unity qui exécutent SCCP ou Cisco Unity Connection périphériques qui exécutent SCCP, un partenaire peut choisir un mode de sécurité de périphérique sécurisé pour le port. Si vous choisissez un port de messagerie vocale authentifié, une connexion TLS s’ouvre, qui authentifier les périphériques en utilisant un échange de certificat mutuel (chaque périphérique accepte le certificat de l’autre périphérique). Si vous choisissez un port de messagerie vocale crypté, le système authentifier les périphériques, puis envoie les flux vocaux chiffrés entre les périphériques.
Pour plus d’informations sur la sécurité des ports de messagerie vocale, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sécurité pour SRST, Troncs, Passerelles, CUBE/SBC
Une passerelle Cisco Unified téléphonique à distance (SRST) peut fournir des tâches de traitement d’appel limitées si l’application Cisco Unified CM sur une instance dédiée ne peut pas terminer l’appel.
Les passerelles sécurisées avec SRST contiennent un certificat auto-signé. Après qu’un partenaire a effectué les tâches de configuration SRST dans l’administration Unified CM, Unified CM utilise une connexion TLS pour s’authentifier avec le service Fournisseur de certificat dans la passerelle avec SRST. Unified CM récupère ensuite le certificat de la passerelle avec SRST et ajoute le certificat à la base de données Unified CM.
Après que le partenaire a réinitialisé les périphériques dépendants dans l’administration Unified CM, le serveur TFTP ajoute le certificat de la passerelle avec SRST au fichier téléphonique cnf.xml et envoie le fichier au téléphone. Un téléphone sécurisé utilise ensuite une connexion TLS pour interagir avec la passerelle avec SRST.
Il est recommandé d’avoir des troncs sécurisés pour l’appel provenant de Cisco Unified CM vers la passerelle pour les appels sortants RTCP ou pour traverser l’élément Cisco Unified Border (CUBE).
Les troncs SIP peuvent prendre en charge les appels sécurisés à la fois pour la signalisation ainsi que le média ; TLS fournit un chiffrement de signalisation et SRTP fournit le chiffrement média.
Sécuriser les communications entre Cisco Unified CM et CUBE
Pour des communications sécurisées entre Cisco Unified CM et CUBE, les partenaires/clients doivent utiliser un certificat auto-signé ou des certificats signés par une AC.
Pour les certificats auto-signés :
-
CUBE et Cisco Unified CM génèrent des certificats auto-signés
-
CUBE exporte le certificat dans Cisco Unified CM
-
Cisco Unified CM exporte le certificat dans CUBE
Pour les certificats signés par une AC :
-
Le client génère un pair de clé et envoie une demande de signature de certificat (CSR) à l’autorité de certification (AC)
-
L’AC le signe avec sa clé privée, créant un certificat d’identité
-
Le client installe la liste des certificats racines et intermédiaires des AC de confiance et le certificat d’identité
Sécurité pour les points de terminaison distants
Avec les points de terminaison Mobile Remote Access (MRA), la signalisation et le média sont toujours chiffrés entre les points de terminaison MRA et les Expressway réseau. Si le protocole Interactive Connectivity Cours (ICE) est utilisé pour les points de terminaison MRA, signalisation et chiffrement média des points de terminaison MRA est requis. Cependant, le chiffrement de la signalisation et du média entre Expressway-C et les serveurs Unified CM internes, les points de terminaison internes, ou autres périphériques internes, nécessitent un mode mixte ou OAuth SIP.
Cisco Expressway la traversée sécurisée du pare-feu et la prise en charge du côté de la ligne pour les inscriptions Unified CM. Unified CM offre le contrôle des appels à la fois pour les points de terminaison mobiles et sur site. La signalisation traverse la solution Expressway entre le point de terminaison distant et Unified CM. Les médias parcourent la Expressway solution et sont relayés directement entre les points de terminaison. Tous les médias sont chiffrés entre le Expressway-C et le point de terminaison mobile.
N’importe quelle solution MRA nécessite Expressway et Unified CM, avec les clients soft compatibles MRA et/ou les points de terminaison fixes. La solution peut aussi comprendre le service de MI et Presence et Unity Connection.
Résumé du protocole
Le tableau suivant montre les protocoles et les services associés utilisés dans la solution Unified CM.
HTTPS et WSS pour la signalisation et la messagerie. |
Sécurité |
Service |
---|---|---|
SIP |
TLS |
Session d’installation : S’inscrire, inviter, etc. |
HTTPS :HTTPS |
TLS |
Logon, approvisionnement/configuration, répertoire, messagerie vocale visuelle |
Média |
SRTP |
Médias: Audio, Vidéo, Partage de contenu |
XMPP |
TLS |
Messagerie instantanée, Présence, Fédération |
Pour plus d’informations sur la configuration MRA, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Options de configuration
L’instance dédiée offre aux partenaires la flexibilité de personnaliser les services des utilisateurs finaux via un contrôle total des configurations du jour deux. Par conséquent, le partenaire est seul responsable de la configuration appropriée du service d’instance dédiée pour l’environnement de l’utilisateur final. Ceci inclut, mais ne se limite pas à :
-
Choisir des appels sécurisés/non sécurisés, des protocoles sécurisés/non sécurisés tels que SIP/sSIP, http/https, etc. et comprendre les risques associés.
-
Pour toutes les adresses MAC non configurées en tant que secure-SIP dans Dedicated Instance, un attaque peut envoyer un message d’inscription SIP en utilisant cette adresse MAC et être capable de passer des appels SIP, ce qui peut entraîner une fraude. Le site est que l’attaque peut enregistrer son périphérique/ logiciel SIP sur une instance dédiée sans autorisation s’ils connaissent l’adresse MAC d’un périphérique enregistré dans l’instance dédiée.
-
Expressway politiques d’appel en ligne, les règles de transformation et de recherche doivent être configurées pour empêcher toute fraude d’appel. Pour plus d’informations sur la prévention de la fraude sans frais en utilisant Expressways, reportez-vous à la section Sécurité Expressway C et Expressway section E de Collaboration SRND.
-
Configuration du plan de numérotation pour s’assurer que les utilisateurs ne peuvent composer que des destinations autorisées, par exemple interdire la numérotation nationale/internationale, acheminer correctement les appels d’urgence, etc. Pour plus d’informations sur l’application des restrictions en utilisant le plan de numérotation, reportez-vous à la section Plan de numérotation de Collaboration SRND.
Exigences en matière de certificat pour les connexions sécurisées dans l’instance dédiée
Pour l’instance dédiée, Cisco fournira le domaine et signera tous les certificats des applications UC en utilisant une autorité de certification (AC) publique.
Instance dédiée – numéros de port et protocoles
Les tableaux suivants décrivent les ports et les protocoles qui sont pris en charge dans l’instance dédiée. Les ports qui sont utilisés pour un client donné dépendent du déploiement et de la solution du client. Les protocoles dépendent de la préférence du client (SCCP vs SIP), des périphériques existants sur site et du niveau de sécurité pour déterminer quels ports doivent être utilisés dans chaque déploiement.
L’instance dédiée n’autorise pas la traduction d’adresses réseau (NAT) entre les points de terminaison et Unified CM car certaines fonctions de flux d’appels ne fonctionneront pas, par exemple la fonction en cours d’appel.
Instance dédiée – Ports des clients
Les ports disponibles pour les clients - entre le client sur site et l’instance dédiée est affiché dans le tableau 1 Dédié Ports des clients. Tous les ports répertoriés ci-dessous sont pour le trafic des clients qui traversent les liens d’peering.
Le port SNMP est ouvert par défaut uniquement pour que Cisco Emergency Responder prenne en charge ses fonctionnalités. Comme nous ne prenons pas en charge les partenaires ou les clients qui contrôlent les applications de communications unifiées déployées dans le Cloud Instance dédiée, nous n’autorisons pas l’ouverture du port SNMP pour les autres applications de communications unifiées.
Les ports de la plage 5063 à 5080 sont réservés par Cisco pour d’autres intégrations cloud, il est recommandé aux administrateurs partenaires ou clients de ne pas utiliser ces ports dans leurs configurations.
Protocole |
TCP/UDP |
Source |
Destination |
Port source |
Port de destination |
Objet |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
Applications UC Non autorisé pour les applications Cisco Expressway. |
Plus de 1023 |
22 |
Administration |
Tftp |
UDP |
Point de terminaison |
Unified CM |
Plus de 1023 |
69 |
Prise en charge des terminaux hérités |
LDAP |
TCP |
Applications UC |
Répertoire externe |
Plus de 1023 |
389 |
Synchronisation du répertoire avec LDAP du client |
HTTPS :HTTPS |
TCP |
Navigateur |
Applications UC |
Plus de 1023 |
443 |
Accès Web pour votre personnel et interfaces administratives |
Courrier sortant (SÉCURISÉ) |
TCP |
Application UC |
CUCxn (CuCxn) |
Plus de 1023 |
587 |
Utilisé pour composer et envoyer des messages sécurisés à des destinataires que vous avez désignés |
LDAP (SÉCURISÉ) |
TCP |
Applications UC |
Répertoire externe |
Plus de 1023 |
636 |
Synchronisation du répertoire avec LDAP du client |
H323 |
TCP |
Passerelle |
Unified CM |
Plus de 1023 |
1720 |
Signalisation d’appel |
H323 |
TCP |
Unified CM |
Unified CM |
Plus de 1023 |
1720 |
Signalisation d’appel |
SCCP |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Plus de 1023 |
2000 |
Signalisation d’appel |
SCCP |
TCP |
Unified CM |
Unified CM, Passerelle |
Plus de 1023 |
2000 |
Signalisation d’appel |
mgcp |
UDP |
Passerelle |
Passerelle |
Plus de 1023 |
2427 |
Signalisation d’appel |
Liaison MGCP |
TCP |
Passerelle |
Unified CM |
Plus de 1023 |
2428 |
Signalisation d’appel |
SCCP (SÉCURISÉ) |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Plus de 1023 |
2443 |
Signalisation d’appel |
SCCP (SÉCURISÉ) |
TCP |
Unified CM |
Unified CM, Passerelle |
Plus de 1023 |
2443 |
Signalisation d’appel |
Vérification de confiance |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
2445 |
Fournir le service de vérification de confiance aux points de terminaison |
Cti |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
2748 |
Connexion entre les applications CTI (JTAPI/TSP) et CTIManager |
CTI sécurisé |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
2749 |
Connexion sécurisée entre les applications CTI (JTAPI/TSP) et CTIManager |
Catalogue global LDAP |
TCP |
UC Applications |
Répertoire externe |
Plus de 1023 |
3268 |
Synchronisation du répertoire avec LDAP du client |
Catalogue global LDAP |
TCP |
UC Applications |
Répertoire externe |
Plus de 1023 |
3269 |
Synchronisation du répertoire avec LDAP du client |
CAPF Service |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
3804 |
Port d’écoute de la fonction du proxy de l’autorité de certification (CERTIFICATE Authority Proxy Function (CAPF) pour l’émission de certificats locaux significatifs (LSC) sur les téléphones IP |
SIP |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Plus de 1023 |
5060 |
Signalisation d’appel |
SIP |
TCP |
Unified CM |
Unified CM, Passerelle |
Plus de 1023 |
5060 |
Signalisation d’appel |
SIP (SÉCURISÉ) |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
5061 |
Signalisation d’appel |
SIP (SÉCURISÉ) |
TCP |
Unified CM |
Unified CM, Passerelle |
Plus de 1023 |
5061 |
Signalisation d’appel |
SIP (OAUTH) |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
5090 |
Signalisation d’appel |
XMPP |
TCP |
Jabber Client |
MI Cisco&P |
Plus de 1023 |
5222 |
Messagerie instantanée et Présence |
HTTP |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
6970 |
Télécharger la configuration et les images vers les points de terminaison |
HTTPS :HTTPS |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
6971 |
Télécharger la configuration et les images vers les points de terminaison |
HTTPS :HTTPS |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
6972 |
Télécharger la configuration et les images vers les points de terminaison |
HTTP |
TCP |
Jabber Client |
CUCxn (CuCxn) |
Plus de 1023 |
7080 |
Notifications de messagerie vocale |
HTTPS :HTTPS |
TCP |
Jabber Client |
CUCxn (CuCxn) |
Plus de 1023 |
7443 |
Notifications de messagerie vocale sécurisées |
HTTPS :HTTPS |
TCP |
Unified CM |
Unified CM |
Plus de 1023 |
7501 |
Utilisé par Intercluster Lookup Service (ILS) pour l’authentification par certificat |
HTTPS :HTTPS |
TCP |
Unified CM |
Unified CM |
Plus de 1023 |
7502 |
Utilisé par ILS pour l’authentification par mot de passe |
IMAP |
TCP |
Jabber Client |
CUCxn (CuCxn) |
Plus de 1023 |
7993 |
IMAP sur TLS |
HTTP |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
8080 |
URI du répertoire pour la prise en charge des terminaux hérités |
HTTPS :HTTPS |
TCP |
Navigateur, point de terminaison |
Applications UC |
Plus de 1023 |
8443 |
Accès Web pour self-care et interfaces administratives, UDS |
HTTPS :HTTPS |
TCP |
Téléphone |
Unified CM |
Plus de 1023 |
9443 |
Recherche de contact authentifié |
HTTP |
TCP |
Point de terminaison |
Unified CM |
Plus de 1023 |
9444 |
Fonctionnalité de gestion des casques |
RTP/SRTP sécurisé |
UDP |
Unified CM |
Téléphone |
16384 à 32767 * |
16384 à 32767 * |
Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel) |
RTP/SRTP sécurisé |
UDP |
Téléphone |
Unified CM |
16384 à 32767 * |
16384 à 32767 * |
Média (audio) - Musique d’attente, Annunciator, Software Conference Bridge (Ouvert en fonction de la signalisation d’appel) |
cobras |
TCP |
Client |
CUCxn (CuCxn) |
Plus de 1023 |
20532 |
Sauvegarder et restaurer la suite d'applications |
ICMP |
ICMP |
Point de terminaison |
Applications UC |
n/a |
n/a |
Ping |
ICMP |
ICMP |
Applications UC |
Point de terminaison |
n/a |
n/a |
Ping |
DNS | UDP et TCP |
Transmetteur DNS |
Serveurs DNS de l’instance dédiée |
Plus de 1023 |
53 |
Les serveurs DNS sur site du client vers les serveurs DNS de l’instance dédiée. Voir Exigences DNS pour plus d’informations. |
* Certains cas particuliers peuvent avoir une plus grande plage. |
Instance dédiée – Ports OTT
Le port suivant peut être utilisé par les clients et les partenaires pour la configuration de l'accès mobile et à distance (MRA) :
HTTPS et WSS pour la signalisation et la messagerie. |
TCP/UCP |
Source |
Destination |
Port source |
Port de destination |
Objet |
---|---|---|---|---|---|---|
RTP/RTCP SÉCURISÉ |
UDP |
Expressway C |
Client |
Plus de 1023 |
36000-59999 |
Média sécurisé pour les appels MRA et B2B |
Trunk SIP inter-op entre le service partagé et l’instance dédiée (uniquement pour le trunk basé sur l’enregistrement)
La liste suivante de ports doit être autorisée sur le pare-feu du client pour le tronc SIP basé sur l’enregistrement se connectant entre l’instance multi-tenant et dédiée.
HTTPS et WSS pour la signalisation et la messagerie. |
TCP/UCP |
Source |
Destination |
Port source |
Port de destination |
Objet |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Service partagé Webex Calling |
Client |
Plus de 1023 |
8000-48198 |
Média à partir du service partagé Webex Calling |
Instance dédiée – Ports UCCX
La liste suivante des ports peut être utilisée par les clients et les partenaires pour la configuration UCCX.
HTTPS et WSS pour la signalisation et la messagerie. |
TCP/UCP |
Source |
Destination |
Port source |
Port de destination |
Objet |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
22 |
SFTP et SSH |
Informix |
TCP |
Client ou Serveur |
UCCX (États-Unis) |
Plus de 1023 |
1504 |
Port de base de données de Contact Center Express |
SIP |
UDP et TCP |
Serveur SIP GC ou MCRP |
UCCX (États-Unis) |
Plus de 1023 |
5065 |
Communication avec les nodes DISTANTs ET MCRP |
XMPP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
5223 |
Connexion XMPP sécurisée entre le serveur Finesse et les applications tierces personnalisées |
Cvd |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
6999 |
Éditeur des applications CCX |
HTTPS :HTTPS |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
7443 |
Connexion BOSH sécurisée entre le serveur Finesse et les bureaux de l’agent et du superviseur pour communication sur HTTPS |
HTTP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8080 |
Les clients de rapports de données en direct se connectent à un serveur socket.IO |
HTTP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8081 |
Navigateur client essayant d’accéder à l Cisco Unified interface Web de Intelligence Center |
HTTP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8443 |
Interface graphique de l'admin, RTMT, accès à la base de données via SOAP |
HTTPS :HTTPS |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8444 |
Cisco Unified interface Web de Intelligence Center |
HTTPS :HTTPS |
TCP |
Navigateur et clients REST |
UCCX (États-Unis) |
Plus de 1023 |
8445 |
Port sécurisé pour Finesse |
HTTPS :HTTPS |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8447 |
HTTPS - Aide en ligne Unified Intelligence Center |
HTTPS :HTTPS |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
8553 |
Les composants de l'authentification unique (SSO) accèdent à cette interface pour connaître le statut de fonctionnement de l'IdS Cisco. |
HTTP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
9080 |
Clients essayant d’accéder aux déclencheurs HTTP ou documents / invites / grammaires / données live. |
HTTPS :HTTPS |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
9443 |
Port sécurisé utilisé pour répondre aux clients qui tentent d’accéder aux déclencheurs HTTPS |
TCP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
12014 |
Ceci est le port sur lequel les clients de rapports de données en direct peuvent se connecter au serveur socket.IO |
TCP |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
12015 |
Ceci est le port sur lequel les clients de rapports de données en direct peuvent se connecter au serveur socket.IO |
Cti |
TCP |
Client |
UCCX (États-Unis) |
Plus de 1023 |
12028 |
Client CTI tiers vers CCX |
RTP (Média) |
TCP |
Point de terminaison |
UCCX (États-Unis) |
Plus de 1023 |
Plus de 1023 |
Le port média est ouvert dynamiquement si nécessaire |
RTP (Média) |
TCP |
Client |
Point de terminaison |
Plus de 1023 |
Plus de 1023 |
Le port média est ouvert dynamiquement si nécessaire |
Sécurité du client
Sécuriser Jabber et Webex avec SIP OAuth
Les clients Jabber et Webex sont authentifiés via un jeton OAuth au lieu d’un certificat local significatif (LSC), qui ne nécessite pas l’activer la fonction de proxy d’autorité de certification (CAPF) (également pour MRA). SIP OAuth travaillant avec ou sans le mode mixte a été introduit dans Cisco Unified CM 12.5(1), Jabber 12.5 et Expressway X12.5.
Dans Cisco Unified CM 12.5, nous avons une nouvelle option dans Profil de sécurité téléphonique qui permet le chiffrement sans LSC/CAPF, en utilisant le jeton TLS (Transport Layer Security) + OAuth dans L’ENREGISTREMENT SIP. Expressway-C utilisent l’API administrative du service Web XML (AXL) pour informer Cisco Unified CM du SN/SAN dans leur certificat. Cisco Unified CM utilise ces informations pour valider le cert Exp-C lors de l’établissement d’une authentification TLS mutuelle connexion.
SIP OAuth active le chiffrement média et de signalisation sans certificat de point de terminaison (LSC).
Cisco Jabber utilise des ports éphémères et des ports sécurisés ports 6971 et 6972 via la connexion HTTPS sur le serveur TFTP pour télécharger les fichiers de configuration. Le port 6970 est un port non sécurisé pour le téléchargement via HTTP.
Plus de détails sur la configuration OAuth SIP : Mode SIP OAuth.
Exigences DNS
Pour l’instance dédiée, Cisco fournit le FQDN du service dans chaque région avec le format suivant ..wxc-di.webex.com par exemple, xyz.amer.wxc-di.webex.com.
La valeur « client » est fournie par l’administrateur dans le cadre de l’assistant de première installation (FTSW). Pour plus d’informations, reportez-vous à l’activation du service d’instance dédié.
Les enregistrements DNS pour cette FDQN doivent être résolus à partir du serveur DNS interne du client pour prendre en charge les périphériques sur site se connectant à l’instance dédiée. Pour faciliter la résolution, le client doit configurer un Forwarder conditionnel, pour cette FDQN, sur son serveur DNS pointant vers le service DNS d’instance dédié. Le service DNS de l’instance dédiée est régional et peut être atteint, via le peering vers l’instance dédiée, en utilisant les adresses IP suivantes, comme indiqué dans le tableau ci-dessous Adresse IP du service DNS de l’instance dédiée.
Région/CD | Adresse IP du service DNS d’instance dédiée |
Exemple de transfert conditionnel |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
fra |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Péché |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
RU |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
homme |
178.215.135.228 |
L’option ping est désactivée pour les adresses IP du serveur DNS ci-dessus pour des raisons de sécurité.
Tant que le transfert conditionnel n’est pas en place, les périphériques ne pourront pas s’inscrire sur l’instance dédiée à partir du réseau interne des clients via les liens d’peering. La transfert conditionnel n’est pas requise pour l’inscription via Mobile et Remote Access (MRA), car tous les enregistrements DNS externes requis pour faciliter l’enregistrement MRA seront pré-provisionés par Cisco.
Lors de l’utilisation de l’application Webex en tant que client logiciel d’appel sur l’instance dédiée, un profil de gestionnaire UC doit être configuré dans Control Hub pour le domaine du service vocal de chaque région (VSD). Pour plus d’informations reportez-vous aux profils du Gestionnaire de communications un Cisco Webex Control Hub. L’application Webex pourra résoudre automatiquement l’edge du Expressway client sans aucune intervention de l’utilisateur final.
Le domaine du service vocal sera fourni au client dans le cadre du document d’accès partenaire lorsque l’activation du service sera terminée.
Utiliser un routeur local pour la résolution DNS du téléphone
Pour les téléphones qui n’ont pas accès aux serveurs DNS de l’entreprise, il est possible d’utiliser un routeur Cisco local pour transférer les demandes DNS vers le DNS cloud de l’instance dédiée. Cela élimine le besoin de déployer un serveur DNS local et fournit une prise en charge complète du DNS, y compris la mise en cache.
Exemple de configuration :
!
serveur ip dns
Serveur de noms ip
!
L’utilisation du DNS dans ce modèle de déploiement est spécifique aux téléphones et ne peut être utilisée que pour résoudre les FDQN avec le domaine à partir de l’Instance dédiée des clients.
Références
-
Conceptions de réseau de référence de solution Cisco Collaboration 12.x (SRND), sujet de sécurité : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Guide de sécurité pour les Cisco Unified Communications Manager : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html