- בית
- /
- מאמר
דרישות אבטחה עבור Webex Calling
במאמר זהמאמר זה מיועד למנהלי רשת, במיוחד למנהלי אבטחת חומת אש ו-Proxy שרוצים להשתמש ב-Webex Calling בתוך הארגון שלהם.
למידע עזר על יציאות עבור דרישות חומת האש והגישה, ראה מידע עזר לגבי יציאות עבור Cisco Webex Calling.
דרישות עבור נקודות קצה
Webex Calling Edge
כדי לבצע רישום SIP או שיחה, בצע את השלבים הבאים:
-
גלה את כתובת המארח של נקודת הקצה של SIP עבור צמתי Edge פעילים.
-
השלם את כל התנאים המוקדמים הקשורים לתצורת המשתמש והמכשיר.
-
ודא שלנקודת הקצה יש קישוריות רשת ציבורית כדי להתחיל בגילוי השירות.
-
השלם את התנאים המוקדמים של אתחול נקודת הקצה עם תצורת הקצאה ספציפית לאזור או למרכז נתונים. תצורה זו עוזרת לקבל את סיומת שם הדומיין הרלוונטית לגילוי השירות.
IPv4 לעומת IPv6
מכשירים יכולים לפעול במצב גרסה אחת או ערימה כפולה. התצורה היא זו שקובעת את השינויים בפרוטוקול המועדף ושינויים אלה אינם חלק מגילוי השירות.
-
מצב ערימה יחידה – מאפשר פרוטוקול IP אחד בלבד (לדוגמה, IPv4) ומתעלם מכתובות הפרוטוקול האחרות.
-
מצב ערימה כפולה – בוחר גרסת IP מועדפת באמצעות תצורה.
הלקוח מחשיב את העדיפות של כל הכתובות המועדפות כנמוכה (כלומר, מועדפת) מכל כתובות ה-IP. אם IPv4 מועדף, המערכת מנסה את כל כתובות ה-IPv4 לפני שהיא מנסה את כתובת IPv6. אם כל הכתובות נכשלות, המחזור מתחיל שוב עם כתובת הפרוטוקול המתועדפת בעדיפות הנמוכה ביותר.
לקוח נייד שנרשם בעת קבלת הודעת דחיפה יכול להחליט למטב את המצב בהתבסס על רישומים קודמות.
זיהוי כתובת המארח מכתובת ה-DNS SRV
בקובץ התצורה של נקודת הקצה המתקבל מהקצאה, מחוון הדומיין מציין את שם הדומיין כדי לגלות את שירות הקצה לגישה. דוגמה לשם הדומיין:
wxc.edge.bcld.webex.comבדוגמה זו, נקודת הקצה שמבצעת בדיקת מידע של DNS SRV עבור דומיין זה עשויה לייצר תגובה דומה לזו:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. במקרה זה, רשומת ה-SRV מצביעה ל-3 רשומות A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com בדוגמה זו, כל המארחים מתחברים ליציאה 5061 עם נתוני משקל ועדיפות שונים.
שקול את הדרישות הללו עבור נקודות קצה.
-
נקודת קצה חייבת להשתמש ב-
_sips._tcp(שילוב של שירות ופרוטוקול) כקידומת כדי לבצע בדיקת מידע של DNS SRV לקבלת כתובת מארח להתחלת תקשורת מבוססת TLS. -
נקודת הקצה חייבת לבצע בדיקת מידע של DNS SRV עבור התנאים המפורטים בסעיף זיהוי כתובת המארח מכתובת DNS SR.
-
נקודת הקצה חייבת לכבד את המארח, היציאה, המשקל והעדיפות כפי שפורסמו עבור כל אחת מכתובות המארח. כמו כן, עליה ליצור זיקה של מארח ליציאה בעת יצירת חיבור שקע במהלך רישום SIP.
-
ספציפית לשימוש ברשומת DNS SRV, הסבר על קריטריוני הבחירה של מארחים על סמך עדיפות ומשקל מופיע ב-RFC 2782.
דרישות עבור SIP ומדיה
|
דרישה |
תיאור |
|---|---|
|
נדרשת תעודת אמון להצפנת מפתח ציבורי |
עיין במאמר לקבלת מידע על רשות החתימה של תעודות Webex ו-Root CA הנדרשת במכשירים |
|
גרסת TLS נתמכת עבור SIP מאובטח |
TLS 1.2 |
|
צפני TLS נתמכים עבור SIP מאובטח |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
מפתחות SRTP נתמכים עבור מדיה מאובטחת |
AES_CM_128_HMAC_SHA1_80 |
דרישות ל-SIP מאובטח עם mTLS (TLS הדדי)
הדרישות מוסברות כאן בפירוט.
נדרשת תעודה חתומה להרשאה ולאימות מוצלחים של שיחות מה-Trunk. התעודה חייבת לעמוד בדרישות הבאות:
-
התעודה חייבת להיות חתומה על-ידי CA המוזכרת באילו רשויות אישור בסיס נתמכות עבור שיחות לפלטפורמות שמע ווידאו של Cisco Webex?
-
העלה את חבילת האמון המוזכרת באילו רשויות אישור בסיס נתמכות עבור שיחות לפלטפורמות שמע ווידאו של Cisco Webex? ב-CUBE.
-
התעודה צריכה להיות תקפה תמיד:
-
לתעודות חתומות חייב תמיד להיות תאריך תפוגה תקף.
-
לתעודות בסיס או תעודות ביניים חייב להיות תאריך תפוגה תקף ואין לבטלן.
-
התעודות צריכות להיות חתומות לשימוש בלקוח ובשרת.
-
התעודות חייבות להכיל את שם הדומיין המלא (FQDN) כשם נפוץ או שם חלופי לנושא בתעודה עם ה-FQDN שנבחר ב-Control Hub. לדוגמה:
-
Trunk שהוגדר מ-Control Hub של הארגון שלך כאשר london.lgw.cisco.com:5061 משמש כ-FQDN חייב להכיל את london.lgw.cisco.com ב-CN או ב-SAN של התעודה.
-
Trunk שהוגדר מ-Control Hub של הארגון שלך כאשר london.lgw.cisco.com שימש כ-SRV חייב להכיל את london.lgw.cisco.com ב-CN או ב-SAN של התעודה. הרשומות שכתובת ה-SRV מזהה כ-(CNAME/רשומה/כתובת IP) הן אופציונליות ב-SAN.
-
-
ניתן לשתף אישורים תעודות עם יותר משער מקומי אחד, אך יש לוודא שדרישות ה-FQDN מתקיימות.
-
מחוץ לתחום
מאמר זה לא כולל את המידע הבא הקשור לאבטחת רשת:
-
דרישות F5 עבור CA וצפנים
-
API מבוסס HTTP להורדת כללי חומת האש עבור Webex.
-
API עבור חבילת אמון
-
דרישת חומת אש והשבתת ALG
