Ce document se concentre principalement sur les exigences de réseau et de sécurité pour la solution d'instance dédiée, y compris l'approche en couches des fonctionnalités qui fournissent un accès physique sécurisé, un réseau sécurisé, des points de terminaison sécurisés et des applications Cisco UC sécurisées.
Configuration réseau requise pour l'instance dédiée
L’instance dédiée de Webex Calling fait partie de la gamme Cisco Cloud Calling, optimisée par la technologie de collaboration Cisco Unified Communications Manager (Cisco Unified CM). L'instance dédiée offre des solutions vocales, vidéo, de messagerie et de mobilité avec les fonctionnalités et les avantages des téléphones IP Cisco, des périphériques mobiles et des clients de bureau qui se connectent en toute sécurité à l'instance dédiée.
Cet article est destiné aux administrateurs réseau, en particulier aux administrateurs de pare-feu et de sécurité proxy qui souhaitent utiliser une instance dédiée au sein de leur organisation.
Présentation de la sécurité : Sécurité dans les couches
Instance dédiée utilise une approche en couches pour la sécurité. Les couches comprennent :
Accès physique
Réseau
Points de destination
Applications UC
Les sections suivantes décrivent les couches de sécurité dans Instance dédiée déploiements.
Sécurité physique
Il est important de fournir une sécurité physique aux emplacements des salles Meet-Me Equinix et Cisco Instance dédiée Installations du centre de données. Lorsque la sécurité physique est compromise, des attaques simples telles qu'une interruption de service en coupant l'alimentation des commutateurs d'un client peuvent être lancées. Avec un accès physique, les attaquants peuvent accéder aux périphériques du serveur, réinitialiser les mots de passe et accéder aux commutateurs. L'accès physique facilite également les attaques plus sophistiquées telles que les attaques de l'intercepteur, c'est pourquoi la deuxième couche de sécurité, la sécurité du réseau, est essentielle.
Les lecteurs à chiffrement automatique sont utilisés dans Instance dédiée Centres de données qui hébergent des applications UC.
Pour plus d’informations sur les pratiques générales de sécurité, reportez-vous à la documentation à l’emplacement suivant : https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Sécurité du réseau
Les partenaires doivent s'assurer que tous les éléments du réseau sont sécurisés dans Instance dédiée infrastructure (qui se connecte via Equinix). Il est de la responsabilité du partenaire de garantir les bonnes pratiques de sécurité telles que :
VLAN distinct pour la voix et les données
Activer la sécurité des ports qui limite le nombre d'adresses MAC autorisées par port, contre l'inondation de la table CAM
IP Source Guard contre les adresses IP falsifiées
L’inspection ARP dynamique (DAI) examine le protocole de résolution d’adresse (ARP) et l’ARP gratuit (GARP) pour détecter les violations (contre l’usurpation d’identité ARP)
802.1x limite l'accès au réseau pour authentifier les périphériques sur les VLAN attribués (les téléphones prennent en charge 802.1x )
Configuration de la qualité de service (QoS) pour le marquage approprié des paquets vocaux
Configurations des ports du pare-feu pour bloquer tout autre trafic
Sécurité des points de terminaison
Les points de terminaison Cisco prennent en charge les fonctionnalités de sécurité par défaut telles que le micrologiciel signé, le démarrage sécurisé (certains modèles), le certificat installé par le fabricant (MIC) et les fichiers de configuration signés, qui fournissent un certain niveau de sécurité pour les points de terminaison.
En outre, un partenaire ou un client peut activer une sécurité supplémentaire, telle que :
Chiffrer les services téléphone IP (via HTTPS) pour des services tels que la Extension Mobility de poste
Émettre des certificats d'importance locale (LSC) à partir de la fonction proxy de l'autorité de certification (CAPF) ou d'une autorité de certification publique (CA)
Chiffrer les fichiers de configuration
Chiffrer les médias et la signalisation
Désactivez ces paramètres s'ils ne sont pas utilisés : port PC PC, accès PC Voice VLAN, ARP gratuit, accès Web, bouton Paramètres, SSH, console
Mettre en œuvre des mécanismes de sécurité dans le Instance dédiée empêche l’usurpation d’identité des téléphones et du serveur Unified CM, la falsification des données et la falsification de la signalisation d’appel/du flux média.
Instance dédiée sur le réseau :
Établit et maintient des flux de communication authentifiés
Signer numériquement les fichiers avant de les transférer sur le téléphone
Chiffre les flux média et la signalisation des appels entre les téléphones IP Cisco Unified
La sécurité par défaut fournit les fonctionnalités de sécurité automatique suivantes pour les téléphones IP Cisco Unified :
Signature des fichiers de configuration téléphonique
Prise en charge du chiffrement du fichier de configuration téléphonique
HTTPS avec Tomcat et autres services Web (MIDlets)
Pour Unified CM version 8.0 ultérieure, ces fonctionnalités de sécurité sont fournies par défaut sans exécuter le client Liste de certificats de confiance (CTL).
Comme il y a un grand nombre de téléphones dans un réseau et que les téléphones IP ont une mémoire limitée, Cisco Unified CM agit comme un magasin de confiance distant via le service de vérification de confiance (TVS) afin qu'un magasin de certificats de confiance n'ait pas à être placé sur chaque téléphone. Les téléphones IP Cisco contactent le serveur TVS pour vérification car ils ne peuvent pas vérifier une signature ou un certificat via des fichiers CTL ou ITL. Il est plus facile de gérer un magasin d'approbations centralisé que d'avoir un magasin d'approbations sur chaque téléphone IP Cisco Unified .
TVS permet aux téléphones IP Cisco Unified d'authentifier les serveurs d'applications, tels que les services EM, l'annuaire et le MIDlet, lors de l'établissement de HTTPS.
Le fichier de la liste de confiance initiale (ITL) est utilisé pour la sécurité initiale, afin que les points de terminaison puissent faire confiance à Cisco Unified CM. ITL n'a pas besoin de fonctionnalités de sécurité pour être activé explicitement. Le fichier ITL est automatiquement créé lorsque le cluster est installé. La clé privée du serveur Unified CM Trivial File Transfer Protocol (TFTP) est utilisée pour signer le fichier ITL.
Lorsque le cluster ou le serveur Cisco Unified CM est en mode non sécurisé, le fichier ITL est téléchargé sur chaque téléphone IP Cisco pris en charge . Un partenaire peut afficher le contenu d'un fichier ITL à l'aide de la commande CLI, admin:show itl.
Les téléphones IP Cisco ont besoin du fichier ITL pour effectuer les tâches suivantes :
Communiquer en toute sécurité avec CAPF, condition préalable à la prise en charge du chiffrement du fichier de configuration
Authentifier la signature du fichier de configuration
Authentifier les serveurs d'applications, tels que les services EM, l'annuaire et le MIDlet lors de l'établissement de HTTPS à l'aide de TVS
L'authentification des périphériques, des fichiers et de la signalisation repose sur la création du fichier Liste de certificats de confiance (CTL), qui est créé lorsque le partenaire ou le client installe et configure le client Liste de certificats de confiance Cisco.
Le fichier CTL contient des entrées pour les serveurs ou jetons de sécurité suivants :
Jeton de sécurité de l'administrateur système (SAST)
Services Cisco CallManager et Cisco TFTP qui s'exécutent sur le même serveur
Fonction proxy autorité de certification (CAPF)
Serveur(s) TFTP
pare-feu ASA
Le fichier CTL contient un certificat de serveur, une clé publique, un numéro de série, une signature, le nom de l'émetteur, le nom de l'objet, la fonction du serveur, le nom DNS et adresse IP de chaque serveur.
La sécurité du téléphone avec CTL fournit les fonctions suivantes :
Authentification des fichiers téléchargés TFTP (configuration, paramètres régionaux, liste de sonnerie, etc.) à l'aide d'une clé de signature
Chiffrement des fichiers de configuration TFTP à l'aide d'une clé de signature
Signalisation d'appel cryptée pour les téléphones IP
Appel audio crypté (média) pour les téléphones IP
Instance dédiée fournit l'enregistrement du point de terminaison et le traitement des appels. La signalisation entre Cisco Unified CM et les points de terminaison est basée sur le Secure Protocole SCCP (Skinny Client Control Protocol) (SCCP) ou le Protocole SIP (Session Initiation Protocol) et peut être chiffrée à l’aide de Transport Layer Security (TLS). Le média en provenance/à destination des points de terminaison est basé sur le protocole RTP (Real-time Transport Protocol) et peut également être chiffré à l’aide du protocole RTP sécurisé (SRTP).
L'activation du mode mixte sur Unified CM permet le chiffrement de la signalisation et du trafic média en provenance et à destination des points de terminaison Cisco.
Applications UC sécurisées
Le mode mixte est activé par défaut dans Instance dédiée .
Activer le mode mixte dans Instance dédiée permet d'effectuer le chiffrement de la signalisation et du trafic média en provenance et à destination des points de terminaison Cisco.
Dans Cisco Unified CM version 12.5(1), une nouvelle option pour activer le chiffrement de la signalisation et du média basé sur SIP OAuth au lieu du mode mixte/CTL a été ajoutée pour les clients Jabber et Webex. Par conséquent, dans Unified CM version 12.5(1), SIP OAuth et SRTP peuvent être utilisés pour activer le chiffrement de la signalisation et des médias pour les clients Jabber ou Webex. L'activation du mode mixte continue d'être requise pour les téléphones IP Cisco et les autres points de terminaison Cisco pour le moment. Il est prévu d’ajouter la prise en charge de SIP OAuth sur les points de terminaison 7800/8800 dans une prochaine version.
Cisco Unity Connection se connecte à Unified CM via le port TLS. Lorsque le mode de sécurité du périphérique n'est pas sécurisé, Cisco Unity Connection se connecte à Unified CM via le port SCCP.
Pour configurer la sécurité des ports de messagerie vocale Unified CM et des périphériques Cisco Unity qui exécutent SCCP ou des périphériques Cisco Unity Connection qui exécutent SCCP, un partenaire peut choisir un mode de sécurité de périphérique sécurisé pour le port. Si vous choisissez un port de messagerie vocale authentifié , une connexion TLS s'ouvre, qui authentifie les périphériques en utilisant un échange de certificats mutuel (chaque périphérique accepte le certificat de l'autre périphérique). Si vous choisissez un port de messagerie vocale chiffrée , le système authentifie d'abord les périphériques, puis envoie des flux vocaux chiffrés entre les périphériques.
Pour plus d'informations sur la sécurité des ports de messagerie vocale, reportez-vous à : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sécurité pour SRST, Trunks, Gateways, CUBE/SBC
Une passerelle Cisco Unified Survivable Remote Site Telephony (SRST) fournit des tâches de traitement d'appel limitées si Cisco Unified CM sur Instance dédiée ne peut pas terminer l’appel.
Les passerelles sécurisées compatibles SRST contiennent un certificat auto-signé. Lorsqu'un partenaire a effectué des tâches de configuration SRST dans administration Unified CM, Unified CM utilise une connexion TLS pour s'authentifier auprès du service du fournisseur de certificats dans la passerelle compatible SRST. Unified CM récupère ensuite le certificat de la passerelle compatible SRST et ajoute le certificat à la base de données Unified CM .
Une fois que le partenaire a réinitialisé les périphériques dépendants dans administration Unified CM, le serveur TFTP ajoute le certificat de passerelle compatible SRST SRST au fichier cnf.xml du téléphone et envoie le fichier au téléphone. Un téléphone sécurisé utilise ensuite une connexion TLS pour interagir avec la passerelle compatible SRST.
Il est recommandé d'avoir des troncs sécurisés pour l'appel provenant de Cisco Unified CM vers la passerelle pour les appels RTCP sortants ou traversant le Cisco Unified Border Element (CUBE).
Les lignes réseau SIP peuvent prendre en charge les appels sécurisés à la fois pour la signalisation et les médias ; TLS fournit le chiffrement de la signalisation et SRTP fournit le chiffrement des médias.
Sécurisation des communications entre Cisco Unified CM et CUBE
Pour des communications sécurisées entre Cisco Unified CM et CUBE, les partenaires/clients doivent utiliser un certificat auto-signé par une autorité de certification.
Pour les certificats auto-signés :
CUBE et Cisco Unified CM génèrent des certificats auto-signés
CUBE exporte le certificat vers Cisco Unified CM
Cisco Unified CM exporte le certificat vers CUBE
Pour les certificats signés par une autorité de certification :
Le client génère une paire de clés et envoie une demande de signature de certificat (CSR) à l' autorité de certification (CA)
L'autorité de certification le signe avec sa clé privée, créant un certificat d'identité
Le client installe la liste des certificats CA racine et intermédiaire de confiance et le certificat d'identité
Sécurité des points de terminaison distants
Avec les points de terminaison MRA (Mobile and Remote Access), la signalisation et le média sont toujours chiffrés entre les points de terminaison MRA et les nœuds Expressway. Si le protocole ICE (Interactive Connectivity Establishment) est utilisé pour les points de terminaison MRA, la signalisation et le chiffrement des médias des points de terminaison MRA sont requis. Cependant, le chiffrement de la signalisation et des médias entre Expressway-C et les serveurs Unified CM internes, les points de terminaison internes ou d'autres périphériques internes, nécessite le mode mixte ou SIP OAuth.
Cisco Expressway fournit une traversée sécurisée du pare-feu et une prise en charge côté ligne pour les enregistrements Unified CM . Unified CM fournit le contrôle des appels pour les points de terminaison mobiles et sur site. La signalisation traverse la solution Expressway entre le point de terminaison distant et Unified CM. Le média traverse la solution Expressway et est directement relayé entre les points de terminaison. Tous les médias sont chiffrés entre Expressway-C et le point de terminaison mobile.
Toute solution MRA nécessite Expressway et Unified CM, avec des clients logiciels compatibles MRA et/ou des points de terminaison fixes. La solution peut éventuellement inclure le service de messagerie instantanée et de présence et Unity Connection.
Résumé du protocole
Le tableau suivant présente les protocoles et les services associés utilisés dans la solution Unified CM .
Protocole |
Sécurité |
Service |
|---|---|---|
SIP |
TLS |
Établissement de la session : S’inscrire, inviter, etc. |
HTTPS |
TLS |
Connexion, Provisioning/Configuration, Répertoire, Messagerie vocale visuelle |
Média |
SRTP |
Médias : Audio, vidéo, partage de contenu |
XMPP |
TLS |
Messagerie instantanée, présence, fédération |
Pour plus d’informations sur la configuration MRA, voir : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Options de configuration
Le Instance dédiée offre au partenaire la flexibilité de personnaliser les services pour les utilisateurs finaux grâce à un contrôle total des configurations du deuxième jour. En conséquence, le Partenaire est seul responsable de la configuration correcte de Instance dédiée service pour l'environnement de l'utilisateur final. Cela inclut, mais sans s’y limiter :
Choisir des appels sécurisés/non sécurisés, des protocoles sécurisés/non sécurisés tels que SIP/sSIP, http/https, etc. et comprendre les risques associés.
Pour toutes les adresses MAC non configurées comme Secure-SIP dans Instance dédiée , un attaquant peut envoyer un message SIP Register en utilisant cette adresse MAC et être en mesure de passer des appels SIP, ce qui entraîne une fraude à l’interurbain. La condition préalable est que l’attaquant peut enregistrer son périphérique/logiciel SIP sur Instance dédiée sans autorisation s'ils connaissent l' adresse MAC d'un périphérique enregistré dans Instance dédiée .
Les stratégies d’appel Expressway-E, les règles de transformation et de recherche doivent être configurées pour empêcher la fraude à l’interurbain. Pour plus d’informations sur la prévention de la fraude aux péages à l’aide d’Expressways, reportez-vous à la section Sécurité pour Expressway C et Expressway-E de Collaboration SRND .
Configuration du plan de numérotation pour garantir que les utilisateurs ne peuvent appeler que les destinations autorisées, par exemple, interdire la numérotation nationale/internationale, les appels d'urgence sont acheminés correctement, etc. Pour plus d'informations sur l'application de restrictions à l'aide du plan de numérotation, reportez-vous à Plan de numérotation section de Collaboration SRND.
Exigences de certificat pour les connexions sécurisées dans une instance dédiée
Pour les instances dédiées, Cisco fournira le domaine et signera tous les certificats pour les applications UC à l'aide d'une autorité de certification (AC) publique.
Instance dédiée – Numéros de port et protocoles
Les tableaux suivants décrivent les ports et les protocoles pris en charge dans l'instance dédiée. Les ports qui sont utilisés pour un client donné dépendent du déploiement et de la solution du client. Les protocoles dépendent des préférences du client (SCCP vs SIP), des périphériques sur site existants et du niveau de sécurité pour déterminer les ports à utiliser dans chaque déploiement.
 |
L'instance dédiée n'autorise pas la traduction d'adresses réseau (NAT) entre les points de terminaison et Unified CM , car certaines des fonctionnalités de flux d'appels ne fonctionneront pas, par exemple la fonctionnalité en cours d'appel. |
Instance dédiée – Ports du client
Les ports disponibles pour les clients - entre l'instance sur site du client et l'instance dédiée sont indiqués dans le tableau 1 Ports du client de l'instance dédiée . Tous les ports répertoriés ci-dessous sont destinés au trafic client traversant les liens d'appairage.
|
Le port SNMP est pris en charge uniquement pour la fonctionnalité CER et non pour les autres outils de surveillance tiers. |
 |
Les ports compris entre 5063 et 5080 sont réservés par Cisco pour d'autres intégrations cloud. Il est recommandé aux administrateurs partenaires ou clients de ne pas utiliser ces ports dans leurs configurations. |
Protocole |
TCP/UDP |
Source |
Destination |
Port source |
Port de destination |
Objet |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
Applications UC |
Supérieur à 1023 |
22 |
Administration |
TFTP |
UDP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
69 |
Prise en charge des points de terminaison hérités |
LDAP |
TCP |
Applications UC |
Répertoire externe |
Supérieur à 1023 |
389 |
Synchronisation du répertoire avec le LDAP du client |
HTTPS |
TCP |
Navigateur |
Applications UC |
Supérieur à 1023 |
443 |
Accès Web pour les interfaces d’autogestion et d’administration |
Courrier sortant (SÉCURISÉ) |
TCP |
Application UC |
CUCxn |
Supérieur à 1023 |
587 |
Utilisé pour composer et envoyer des messages sécurisés à tous les destinataires désignés |
LDAP (SÉCURISÉ) |
TCP |
Applications UC |
Répertoire externe |
Supérieur à 1023 |
636 |
Synchronisation du répertoire avec le LDAP du client |
H323 |
TCP |
Passerelle |
Unified CM |
Supérieur à 1023 |
1720 |
Signalisation d'appel |
H323 |
TCP |
Unified CM |
Unified CM |
Supérieur à 1023 |
1720 |
Signalisation d'appel |
SCCP |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Supérieur à 1023 |
2000 |
Signalisation d'appel |
SCCP |
TCP |
Unified CM |
Unified CM, Passerelle |
Supérieur à 1023 |
2000 |
Signalisation d'appel |
MGCP |
UDP |
Passerelle |
Passerelle |
Supérieur à 1023 |
2427 |
Signalisation d'appel |
MGCP Blackhaul |
TCP |
Passerelle |
Unified CM |
Supérieur à 1023 |
2428 |
Signalisation d'appel |
SCCP (SÉCURISÉ) |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Supérieur à 1023 |
2443 |
Signalisation d'appel |
SCCP (SÉCURISÉ) |
TCP |
Unified CM |
Unified CM, Passerelle |
Supérieur à 1023 |
2443 |
Signalisation d'appel |
Vérification de la confiance |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
2445 |
Fournir un service de vérification de confiance aux points de terminaison |
CTI |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
2748 |
Connexion entre les applications CTI (JTAPI/TSP) et CTIManager |
CTI sécurisé |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
2749 |
Connexion sécurisée entre les applications CTI (JTAPI/TSP) et CTIManager |
Catalogue global LDAP |
TCP |
Applications UC |
Répertoire externe |
Supérieur à 1023 |
3268 |
Synchronisation du répertoire avec le LDAP du client |
Catalogue global LDAP |
TCP |
Applications UC |
Répertoire externe |
Supérieur à 1023 |
3269 |
Synchronisation du répertoire avec le LDAP du client |
Service CAPF |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
3804 |
Port d'écoute de la fonction de proxy autorité de certification (CAPF) pour l'émission de certificats d'importance locale (LSC) aux téléphones IP |
SIP |
TCP |
Point de terminaison |
Unified CM, CUCxn |
Supérieur à 1023 |
5060 |
Signalisation d'appel |
SIP |
TCP |
Unified CM |
Unified CM, Passerelle |
Supérieur à 1023 |
5060 |
Signalisation d'appel |
SIP (SÉCURISÉ) |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
5061 |
Signalisation d'appel |
SIP (SÉCURISÉ) |
TCP |
Unified CM |
Unified CM, Passerelle |
Supérieur à 1023 |
5061 |
Signalisation d'appel |
SIP (OAUTH) |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
5090 |
Signalisation d'appel |
XMPP |
TCP |
Client Jabber |
Cisco IM&P |
Supérieur à 1023 |
5222 |
Messagerie instantanée et présence |
HTTP |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
6970 |
Téléchargement de la configuration et des images sur les points de terminaison |
HTTPS |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
6971 |
Téléchargement de la configuration et des images sur les points de terminaison |
HTTPS |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
6972 |
Téléchargement de la configuration et des images sur les points de terminaison |
HTTP |
TCP |
Client Jabber |
CUCxn |
Supérieur à 1023 |
7080 |
Notifications de messagerie vocale |
HTTPS |
TCP |
Client Jabber |
CUCxn |
Supérieur à 1023 |
7443 |
Notifications de messagerie vocale sécurisées |
HTTPS |
TCP |
Unified CM |
Unified CM |
Supérieur à 1023 |
7501 |
Utilisé par service de recherche intercluster (ILS) (ILS) pour l'authentification par certificat |
HTTPS |
TCP |
Unified CM |
Unified CM |
Supérieur à 1023 |
7502 |
Utilisé par ILS pour l'authentification par mot de passe |
IMAP |
TCP |
Client Jabber |
CUCxn |
Supérieur à 1023 |
7993 |
IMAP sur TLS |
HTTP |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
8080 |
URI de répertoire pour la prise en charge des points de terminaison hérités |
HTTPS |
TCP |
Navigateur, point de terminaison |
Applications UC |
Supérieur à 1023 |
8443 |
Accès Web pour les interfaces d’autogestion et d’administration, UDS |
HTTPS |
TCP |
Téléphone |
Unified CM |
Supérieur à 1023 |
9443 |
Recherche de contacts authentifiés |
HTTPs |
TCP |
Point de terminaison |
Unified CM |
Supérieur à 1023 |
9444 |
Fonctionnalité de gestion du casque |
RTP/ SRTP sécurisé |
UDP |
Unified CM |
Téléphone |
16384 à 32767 * |
16384 à 32767 * |
Média (audio) - musique d'attente, Annonciateur, Pont de conférence logiciel (Ouvert en fonction de la signalisation d'appel) |
RTP/ SRTP sécurisé |
UDP |
Téléphone |
Unified CM |
16384 à 32767 * |
16384 à 32767 * |
Média (audio) - musique d'attente, Annonciateur, Pont de conférence logiciel (Ouvert en fonction de la signalisation d'appel) |
COBRAS |
TCP |
Client |
CUCxn |
Supérieur à 1023 |
20532 |
Suite d'applications de sauvegarde et de restauration |
ICMP |
ICMP |
Point de terminaison |
Applications UC |
n/a |
n/a |
Ping |
ICMP |
ICMP |
Applications UC |
Point de terminaison |
n/a |
n/a |
Ping |
* Certains cas particuliers peuvent utiliser une plage plus large. |
||||||
Instance dédiée – Ports OTT
Le port suivant peut être utilisé par les clients et les partenaires pour la configuration de l'accès mobile et à distance (MRA) :
Protocole |
TCP/UCP |
Source |
Destination |
Port source |
Port de destination |
Objet |
|---|---|---|---|---|---|---|
RTP/RTCP SÉCURISÉ |
UDP |
Autoroute C |
Client |
Supérieur à 1023 |
36000-59999 |
Média sécurisé pour les appels MRA et B2B |
Instance dédiée – Ports UCCX
La liste de ports suivante peut être utilisée par les clients et les partenaires pour configurer UCCX.
Protocole |
TCP/UCP |
Source |
Destination |
Port source |
Port de destination |
Objet |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Supérieur à 1023 |
22 |
SFTP et SSH |
Informix |
TCP |
Client ou serveur |
UCCX |
Supérieur à 1023 |
1504 |
Port de la base de données Unified CCX |
SIP |
UDP et TCP |
Serveur SIP GW ou MCRP |
UCCX |
Supérieur à 1023 |
5065 |
Communication avec les nœuds GW et MCRP distants |
XMPP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
5223 |
Connexion XMPP sécurisée entre le serveur Finesse et les applications tierces personnalisées |
CVD |
TCP |
Client |
UCCX |
Supérieur à 1023 |
6999 |
Éditeur des applications CCX |
HTTPS |
TCP |
Client |
UCCX |
Supérieur à 1023 |
7443 |
Connexion BOSH sécurisée entre le serveur Finesse et les bureaux des agents et des superviseurs pour la communication via HTTPS |
HTTP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8080 |
Les clients de rapports de données en direct se connectent au serveur socket.IO |
HTTP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8081 |
Le navigateur du client tente d'accéder à l' interface web de Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8443 |
Interface graphique d'administration, RTMT, accès à la base de données via SOAP |
HTTPS |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8444 |
interface web de Cisco Unified Intelligence Center |
HTTPS |
TCP |
Navigateur et clients REST |
UCCX |
Supérieur à 1023 |
8445 |
Port sécurisé pour Finesse |
HTTPS |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8447 |
HTTPS - Aide en ligne Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Supérieur à 1023 |
8553 |
Les composants d'authentification unique (SSO) accèdent à cette interface pour connaître l'état de fonctionnement de Cisco IdS. |
HTTP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
9080 |
Clients essayant d'accéder aux déclencheurs HTTP ou aux documents/invites/grammaires/ données en direct. |
HTTPS |
TCP |
Client |
UCCX |
Supérieur à 1023 |
9443 |
Port sécurisé utilisé pour répondre aux clients essayant d'accéder aux déclencheurs HTTPS |
TCP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
12014 |
Il s'agit du port sur lequel les clients de création de rapports de données en direct peuvent se connecter au serveur socket.IO |
TCP |
TCP |
Client |
UCCX |
Supérieur à 1023 |
12015 |
Il s'agit du port sur lequel les clients de création de rapports de données en direct peuvent se connecter au serveur socket.IO |
CTI |
TCP |
Client |
UCCX |
Supérieur à 1023 |
12028 |
Client CTI tiers vers CCX |
RTP(Media) |
TCP |
Point de terminaison |
UCCX |
Supérieur à 1023 |
Supérieur à 1023 |
Le port média est ouvert dynamiquement si nécessaire |
RTP(Media) |
TCP |
Client |
Point de terminaison |
Supérieur à 1023 |
Supérieur à 1023 |
Le port média est ouvert dynamiquement si nécessaire |
Sécurité des clients
Sécuriser Jabber et Webex avec SIP OAuth
Les clients Jabber et Webex sont authentifiés via un jeton OAuth au lieu d'un certificat localement important (LSC), qui ne nécessite pas l'activation de la fonction proxy d'autorité de certification (CAPF) (pour MRA également). SIP OAuth fonctionnant avec ou sans mode mixte a été introduit dans Cisco Unified CM 12.5(1), Jabber 12.5 et Expressway X12.5.
Dans Cisco Unified CM 12.5, nous avons une nouvelle option dans le profil de sécurité du téléphone qui permet le chiffrement sans LSC/CAPF, en utilisant un seul jeton Transport Layer Security (TLS) + OAuth dans SIP REGISTER. Les nœuds Expressway-C utilisent l' API Administrative XML Web Service (AXL) pour informer Cisco Unified CM du SN/SAN dans leur certificat. Cisco Unified CM utilise ces informations pour valider le certificat Exp-C lors de l'établissement d'une connexion TLS mutuelle.
SIP OAuth permet le chiffrement des médias et de la signalisation sans certificat de point de terminaison (LSC).
Cisco Jabber utilise les ports éphémères et les ports sécurisés 6971 et 6972 via une connexion HTTPS au serveur TFTP pour télécharger les fichiers de configuration. Le port 6970 est un port non sécurisé pour le téléchargement via HTTP.
Plus de détails sur la configuration SIP OAuth : Mode OAuth SIP .
Exigences DNS
Pour les instances dédiées, Cisco fournit le FQDN pour le service dans chaque région avec le format suivant<customer> .<region> .wxc-di.webex.com par exemple, xyz.amer.wxc-di.webex.com .
La valeur « client » est fournie par l'administrateur dans le cadre de l'assistant de assistant de configuration initiale initiale (FTSW). Pour plus d’informations, reportez-vous à Activation du service d'instance dédiée .
Les enregistrements DNS de ce nom de domaine complet doivent pouvoir être résolus à partir du serveur DNS interne du client pour prendre en charge les périphériques sur site qui se connectent à l'instance dédiée. Pour faciliter la résolution, le client doit configurer un redirecteur conditionnel, pour ce nom de domaine complet, sur son serveur DNS pointant vers le service DNS de l'instance dédiée. Le service DNS de l'instance dédiée est régional et peut être atteint, via l'appairage à l'instance dédiée, en utilisant les adresses IP suivantes, comme indiqué dans le tableau ci-dessous Adresse IP du service DNS de l'instance dédiée .
Région/DC |
Adresse IP du service DNS de l'instance dédiée | Exemple de transfert conditionnel |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
SMA |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
SMA |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
NAS |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
L'option ping est désactivée pour les adresses IP du serveur DNS mentionnées ci-dessus pour des raisons de sécurité. |
Tant que le transfert conditionnel n’est pas en place, les périphériques ne peuvent pas s’enregistrer auprès de l’instance dédiée à partir du réseau interne du client via les liens d’appairage. Le transfert conditionnel n'est pas requis pour l'enregistrement via l'accès mobile et à distance (MRA), car tous les enregistrements DNS externes requis pour faciliter le MRA seront pré-provisionnés par Cisco.
Lorsque vous utilisez l'application Webex en tant que client logiciel d'appel sur une instance dédiée, un profil de gestionnaire UC doit être configuré dans Control Hub pour le domaine de service vocal (VSD) de chaque région. Pour plus d’informations, reportez-vous à Profils UC Manager dans Cisco Webex Control Hub . L'application Webex sera en mesure de résoudre automatiquement le problème Expressway Edge du client sans aucune intervention de l'utilisateur final.
|
Le domaine du service vocal sera fourni au client dans le cadre du document d'accès du partenaire une fois l'activation du service terminée. |
Références
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), rubrique Sécurité : https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Guide de sécurité pour Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
