- בית
- /
- מאמר
במאמר זהדרישות הרשת והאבטחה עבור פתרון המופע הייעודי הן הגישה השכבתית לתכונות ולפונקציונליות המספקת גישה פיזית מאובטחת, רשת, נקודות קצה ויישומי Cisco UC. הוא מתאר את דרישות הרשת ומפרט את הכתובות, היציאות והפרוטוקולים המשמשים לחיבור נקודות הקצה שלך לשירותים.
דרישות רשת עבור מופע ייעודי
המופע הייעודי של Webex Calling הוא חלק מפורטפוליו Cisco Cloud Calling, המופעל על ידי טכנולוגיית שיתוף הפעולה של Cisco Unified Communications Manager (Cisco Unified CM). המופע הייעודי מציע פתרונות קול, וידאו, העברת הודעות וניידות עם התכונות והיתרונות של טלפוני Cisco IP, מכשירים ניידים ולקוחות שולחן עבודה המתחברים בצורה מאובטחת למופע הייעודי.
מאמר זה מיועד למנהלי רשת, במיוחד למנהלי אבטחת חומת אש ו-Proxy שרוצים להשתמש במופע ייעודי בתוך הארגון שלהם.
סקירת אבטחה: אבטחה בשכבות
המופע הייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:
-
גישה פיזית
-
רשת
-
נקודות קצה
-
יישומי UC
הסעיפים הבאים מתארים את שכבות האבטחה בפריסות מופע ייעודי.
ביטחון פיזי
חשוב לספק אבטחה פיזית למיקומים של Equinix Meet-Me Room ולמתקני Cisco Dedicated Instance Data Center. כאשר האבטחה הפיזית נפגעת, ניתן להפעיל התקפות פשוטות כגון שיבוש שירות על ידי כיבוי כוח למתגים של הלקוח. עם גישה פיזית, תוקפים יכולים לקבל גישה למכשירי שרת, לאפס סיסמאות ולהשיג גישה למתגים. גישה פיזית מאפשרת גם התקפות מתוחכמות יותר כמו התקפות אדם באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.
כוננים להצפין עצמי משמשים במרכזי נתונים של מופע ייעודי שמארחים יישומי UC.
לקבלת מידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
אבטחת רשת
שותפים צריכים להבטיח שכל רכיבי הרשת מאובטחים בתשתית המופע הייעודי (אשר מתחברת דרך Equinix). זוהי אחריותו של שותף להבטיח שיטות מומלצות לאבטחה כגון:
-
הפרד VLAN עבור קול ונתונים
-
אפשר אבטחת יציאה אשר מגבילה את מספר כתובות ה-MAC המותרות ליציאה, נגד הצפת טבלת CAM
-
שומר מקור IP נגד כתובות IP מזויפות
-
בדיקת ARP דינמית (DAI) בוחנת את פרוטוקול הרזולוציה של הכתובת (ARP) ואת ARP מיותר (GARP) להפרות (נגד הטעיית ARP)
-
802.1x מגביל את גישת הרשת לאימות מכשירים ברשתות VLAN מוקצות (טלפונים תומכים ב-802.1x)
-
תצורה של איכות שירות (QoS) לסימון מתאים של מנות קול
-
תצורות יציאות חומת אש לחסימת כל תעבורה אחרת
אבטחת נקודות קצה
נקודות קצה של Cisco תומכות בתכונות אבטחה של ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), אישור מותקן של יצרן (MIC) וקובצי תצורה חתומות, המספקים רמה מסוימת של אבטחה עבור נקודות קצה.
בנוסף, שותף או לקוח יכולים לאפשר אבטחה נוספת, כגון:
-
הצפן שירותי טלפון IP (דרך HTTPS) עבור שירותים כגון ניידות שלוחה
-
להנפיק תעודות משמעותיות מקומיות (LSCs) מתפקיד ה-Proxy של רשות האישורים (CAPF) או רשות אישורים ציבורית (CA)
-
הצפן קבצי תצורה
-
הצפן מדיה ואיתות
-
בטל הגדרות אלה אם הן אינן בשימוש: יציאת PC, גישת VLAN קולית PC, ARP מיותר, גישת אינטרנט, לחצן הגדרות, SSH, מסוף
הטמעת מנגנוני אבטחה במופע הייעודי מונעת גניבת זהות של הטלפונים ושל שרת Unified CM, מניעת גניבת נתונים וחבלה של איתות שיחות / זרם מדיה.
מופע ייעודי ברשת:
-
מבסס ומתחזק זרמי תקשורת מאומתים
-
חותם דיגיטלית על קבצים לפני העברת הקובץ לטלפון
-
הצפנת זרמי מדיה ואיתות על שיחות בין טלפון Cisco Unified IP
אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפוני Cisco Unified IP:
-
חתימה על קובצי התצורה של הטלפון
-
תמיכה בהצפנת קובץ תצורת טלפון
-
HTTPS עם טומקט ושירותי אינטרנט אחרים (MIDlets)
עבור Unified CM Release 8.0 מאוחר יותר, תכונות אבטחה אלה מסופקות כברירת מחדל מבלי להפעיל את לקוח רשימת תעודות אמון (CTL).
שירות אימות אמוןמכיוון שיש מספר גדול של טלפונים ברשת וטלפוני IP בעלי זיכרון מוגבל, ל-Cisco Unified CM פועל כחנות אמון מרחוק דרך שירות אימות האמון (TVS) כך שלא יהיה צורך להציב חנות אמון בתעודות בכל טלפון. טלפוני Cisco IP יוצרים קשר עם שרת TVS לאימות מכיוון שהם לא יכולים לאמת חתימה או תעודה באמצעות קובצי CTL או ITL. קל יותר לנהל חנות אמון מרכזית מאשר לנהל את חנות האמון בכל טלפון Cisco Unified IP.
TVS מאפשר לטלפוני Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet, במהלך יצירת HTTPS.
רשימת אמון ראשוניתקובץ רשימת האמון הראשונית (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לתת אמון ב-Cisco Unified CM. ITL לא צריך להפעיל במפורש תכונות אבטחה. קובץ ה-ITL נוצר באופן אוטומטי כאשר האשכול מותקן. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ITL.
כאשר האשכול או השרת של Cisco Unified CM במצב לא מאובטח, קובץ ה-ITL יורד בכל טלפון Cisco IP נתמך. שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.
טלפוני Cisco IP זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:
-
תקשר בצורה מאובטחת ל-CAPF, דרישה מוקדמת לתמיכה בהצפנת קובץ התצורה
-
אמת את חתימת קובץ התצורה
-
אימות שרתי יישומים, כגון שירותי EM, ספרייה ו-MIDlet במהלך יצירת HTTPS באמצעות TVS
אימות מכשיר, קובץ ואיתות מסתמכים על יצירת קובץ רשימת אמון של אישורים (CTL), שנוצר כאשר השותף או הלקוח מתקין ומגדיר את לקוח רשימת אמון של Cisco.
קובץ CTL מכיל ערכים עבור השרתים הבאים או אסימוני האבטחה הבאים:
-
אסימון אבטחה של מנהל מערכת (SAST)
-
שירותי Cisco CallManager ו-Cisco TFTP שפועלים באותו שרת
-
פונקציית Proxy של רשות Certificate Authority (CAPF)
-
שרתי TFTP
-
חומת אש של ASA
קובץ ה-CTL מכיל אישור שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS וכתובת IP עבור כל שרת.
אבטחת טלפון עם CTL מספקת את הפונקציות הבאות:
-
אימות של קבצים שהורדו TFTP (תצורה, מיקום, רשימת צלצולים וכן הלאה) באמצעות מפתח חתימה
-
הצפנה של קבצי תצורת TFTP באמצעות מפתח חתימה
-
איתות שיחה מוצפן עבור טלפוני IP
-
שמע שיחה מוצפן (מדיה) עבור טלפוני IP
המופע הייעודי מספק רישום נקודת קצה ועיבוד שיחות. האיתות בין Cisco Unified CM ונקודות הקצה מבוסס על פרוטוקול בקרת לקוח רזה מאובטחת (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות אבטחת שכבת תעבורה (TLS). המדיה מנקודות הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתן גם להצפין באמצעות RTP מאובטח (SRTP).
הפעלת מצב מעורב ב-Unified CM מאפשרת הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco.
יישומי UC מאובטחים
מפעיל מצב מעורב במופע ייעודימצב מעורב מופעל כברירת מחדל במופע ייעודי.
הפעלת מצב מעורב במופע ייעודי מאפשרת את היכולת לבצע הצפנה של תעבורת האיתות והמדיה מנקודות הקצה של Cisco.
במהדורת Cisco Unified CM 12.5(1), נוספה אפשרות חדשה לאפשר הצפנה של איתות ומדיה בהתבסס על SIP OAuth במקום מצב מעורב / CTL עבור לקוחות Jabber ו-Webex. לכן, במהדורת Unified CM 12.5(1), ניתן להשתמש ב-SIP OAuth ו-SRTP כדי לאפשר הצפנה לאיתות ומדיה עבור לקוחות Jabber או Webex. הפעלת מצב מעורב ממשיכה להידרש עבור טלפוני Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. יש תוכנית להוסיף תמיכה ב-SIP OAuth בנקודות קצה של 7800/8800 במהדורה עתידית.
אבטחת הודעות קוליותCisco Unity Connection מתחבר ל-Unified CM דרך יציאת TLS. כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל-Unified CM דרך יציאת SCCP.
כדי להגדיר את האבטחה עבור יציאות הקוליות של Unified CM ולהתקני Cisco Unity הפועלים ב-SCCP או התקני Cisco Unity Connection הפועלים ב-SCCP, שותף יכול לבחור מצב אבטחת מכשיר מאובטח עבור היציאה. אם תבחר יציאת דואר קולי מאומתת, נפתח חיבור TLS, שמאמת את המכשירים באמצעות חילופי אישור הדדי (כל מכשיר מקבל את האישור של המכשיר האחר). אם תבחר יציאת דואר קולי מוצפן, המערכת מאמתת תחילה את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.
לקבלת מידע נוסף על יציאות העברת הודעות קוליות של אבטחה, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide- SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html
אבטחה עבור SRST, ענפי TRUNK, שערים, CUBE/SBC
שער מופעל-שרידות טלפוניה באתר מרוחק (SRST) של Cisco Unified Unified CM מספק משימות עיבוד שיחות מוגבלות אם Cisco Unified CM במופע ייעודי לא יכול להשלים את השיחה.
שערים מאובטחים התומכים ב-SRST מכילים תעודה בחתימה עצמית. לאחר שהשותף מבצע משימות תצורת SRST ב-Unified CM Administration, Unified CM משתמש בחיבור TLS לאימות עם שירות ספק האישורים בשער התומך ב-SRST. לאחר מכן Unified CM מאחזר את האישור מהשער התומך ב-SRST ומוסיף את האישור למסד הנתונים של Unified CM.
לאחר שהשותף מאפס את המכשירים התלויים ב-Unified CM Administration, שרת TFTP מוסיף את תעודת השער התומכת SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי לקיים אינטראקציה עם שער מופעל-SRST.
מומלץ שיהיו לה ענפי Trunk מאובטחים עבור השיחה שמקורה מ-Cisco Unified CM לשער עבור שיחות PSTN יוצאות או מעבר דרך רכיב הגבול של Cisco (CUBE).
ענפי SIP trunk יכולים לתמוך בשיחות מאובטחות הן לאיתות והן למדיה; TLS מספק הצפנת איתות ו-SRTP מספק הצפנת מדיה.
אבטחת תקשורת בין Cisco Unified CM ו-CUBE
עבור תקשורת מאובטחת בין Cisco Unified CM ו-CUBE, שותפים/לקוחות צריכים להשתמש באישור בחתימה עצמית או באישורים החתומים על ידי CA.
עבור תעודות בחתימה עצמית:
-
CUBE ו-Cisco Unified CM מייצרים תעודות בחתימה עצמית
-
אישור ייצוא CUBE ל-Cisco Unified CM
-
אישור ייצוא של Cisco Unified CM ל-CUBE
עבור תעודות חתומות על ידי CA:
-
הלקוח מייצר זוג מפתחות ושולח בקשה לחתימת אישור (CSR) לרשות האישורים (CA)
-
CA חותמת עליו עם המפתח הפרטי שלו, מה שיוצר תעודת זהות
-
הלקוח מתקין את רשימת תעודות השורש והתעודות המתווכים של CA מהימנות ואת תעודת הזהות
אבטחה עבור נקודות קצה מרוחקת
עם נקודות קצה של Mobile ו-Remote Access (MRA), האיתות והמדיה מוצפנות תמיד בין נקודות הקצה של MRA לבין צמתי Expressway. אם פרוטוקול Interactive Connectivity Establishment (ICE) משמש עבור נקודות קצה, איתות והצפנת מדיה של נקודות הקצה של MRA. עם זאת, הצפנה של האיתות והמדיה בין Expressway-C לבין שרתי Unified CM הפנימיים, נקודות קצה פנימיות או מכשירים פנימיים אחרים, דורשת מצב מעורב או SIP OAuth.
Cisco Expressway מספק מעבר חומת אש מאובטח ותמיכה בצידי קו עבור רישומי Unified CM. Unified CM מספק בקרת שיחות לנקודות קצה ניידות והן לנקודות קצה מקומיות. איתות עובר את פתרון Expressway בין נקודת הקצה המרוחקת ל-Unified CM. המדיה חוצה את פתרון Expressway ומשודרת בין נקודות הקצה ישירות. כל המדיה מוצפנת בין Expressway-C לבין נקודת הקצה הניידת.
כל פתרון MRA דורש Expressway ו-Unified CM, עם לקוחות רכים תואמים ל-MRA ו/או נקודות קצה קבועות. הפתרון יכול לכלול אופציונלית את שירות IM ו-Presence ואת Unity Connection.
סיכום פרוטוקול
הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים המשמשים בפתרון Unified CM.
|
פרוטוקול |
אבטחה |
שירות |
|---|---|---|
|
SIP |
TLS |
הקמת מפגש: הירשם, הזמן וכו' |
|
HTTPS |
TLS |
התחברות, הקצאה/תצורה, ספרייה, תא קולי חזותי |
|
מדיה |
SRTP |
מדיה: שמע, וידאו, שיתוף תוכן |
|
XMPP |
TLS |
העברת הודעות מיידיות, נוכחות, פדרציה |
לקבלת מידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
אפשרויות תצורה
המופע הייעודי מספק לשותף גמישות להתאמה אישית של שירותים עבור משתמשי קצה באמצעות שליטה מלאה בשתי תצורות היום. כתוצאה מכך, השותף אחראי אך ורק לתצורה נכונה של שירות המופע הייעודי עבור סביבת משתמש הקצה. זה כולל, אך לא מוגבל ל:
-
בחירת שיחות מאובטחות/לא מאובטחות, פרוטוקולים מאובטחים/לא מאובטחים כגון SIP/sSIP, http/https וכו' והבנת כל הסיכונים הקשורים.
-
עבור כל כתובות ה-MAC שאינן מוגדרות כ-SIP מאובטח במופע ייעודי, תוקף יכול לשלוח הודעת רישום SIP באמצעות כתובת MAC זו ויהיה מסוגל לבצע שיחות SIP, וכתוצאה מכך הונאת תשלום. הפרקוויזיט הוא שהתוקף יכול לרשום את מכשיר ה-SIP/תוכנה למופע ייעודי ללא אישור אם הוא יודע את כתובת ה-MAC של מכשיר הרשום במופע ייעודי.
-
יש להגדיר מדיניות של שיחות Expressway-E, המרה וכללי חיפוש כדי למנוע הונאת תשלום. למידע נוסף על מניעת הונאת תשלום באמצעות Expressway C ו-EXPRESSWAY-E, עיין בסעיף Collaboration SRND.
-
תצורת תוכנית חיוג כדי להבטיח שמשתמשים יוכלו לחייג רק ליעדי חיוג המותרים, למשל, לאסור חיוג לאומי/בינלאומי, שיחות חירום מנותבות כראוי וכד'. לקבלת מידע נוסף על החלת מגבלות באמצעות תוכנית חיוג, עיין בסעיף תוכנית חיוג של שיתוף פעולה SRND.
דרישות תעודה עבור חיבורים מאובטחים במופע ייעודי
עבור מופע ייעודי, Cisco תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות רשות אישורים ציבורית (CA).
מופע ייעודי – מספרי יציאות ופרוטוקולים
הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים במופע ייעודי. יציאות המשמשות עבור לקוח נתון תלויות בפריסה ובפתרון של הלקוח. פרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), במכשירים מקומיים קיימים ובאיזו רמת אבטחה כדי לקבוע באילו יציאות יש להשתמש בכל פריסה.
 | המופע הייעודי לא מאפשר תרגום כתובות רשת (NAT) בין נקודות הקצה ל-Unified CM משום שחלק מתכונות זרימת השיחה לא יעבדו, לדוגמה, התכונה באמצע השיחה. |
מופע ייעודי – יציאות לקוח
היציאות הזמינות עבור לקוחות - בין הלקוח המקומי לבין המופע הייעודי מוצג בטבלה 1 יציאות לקוח של מופע ייעודי. כל היציאות המפורטות להלן מיועדות לתעבורת לקוחות העוברת בקישורי עמיתים.
| יציאת SNMP פתוחה כברירת מחדל רק עבור Cisco Emergency Responder כדי לתמוך בפונקציונליות שלה. מכיוון שאיננו תומכים בשותפים או בלקוחות המעקבים אחר יישומי UC הפרוסים בענן המופע הייעודי, איננו מאפשרים פתיחת יציאת SNMP עבור יישומי UC אחרים. |
 | יציאות בטווח 5063 עד 5080 שמורות על-ידי Cisco עבור שילובים אחרים בענן, מנהלי מערכת של שותף או של לקוח מומלצים לא להשתמש ביציאות אלה בתצורות שלהם. |
|
פרוטוקול |
TCP/UDP |
מקור |
יעד |
יציאת מקור |
יציאת יעד |
מטרה | ||
|---|---|---|---|---|---|---|---|---|
|
SSH |
TCP |
לקוח |
יישומי UC
|
גדול מ-1023 |
22 |
ניהול |
||
|
TFTP |
UDP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
69 |
תמיכה של נקודת קצה מדור קודם |
||
|
LDAP |
TCP |
יישומי UC |
נוכחות חיצונית |
גדול מ-1023 |
389 |
סנכרון ספר טלפונים ללקוח LDAP |
||
|
HTTPS |
TCP |
דפדפן |
יישומי UC |
גדול מ-1023 |
443 |
גישה לאינטרנט עבור ממשקי טיפול עצמי וניהול |
||
|
דואר יוצא (מאובטח) |
TCP |
יישום UC |
CUCxnName |
גדול מ-1023 |
587 |
משמש להלחין ולשלוח הודעות מאובטחות לכל נמענים ייעודיים |
||
|
LDAP (מאובטח) |
TCP |
יישומי UC |
נוכחות חיצונית |
גדול מ-1023 |
636 |
סנכרון ספר טלפונים ללקוח LDAP |
||
|
שעה323 |
TCP |
שער |
Unified CM |
גדול מ-1023 |
1720 |
איתות על שיחות |
||
|
שעה323 |
TCP |
Unified CM |
Unified CM |
גדול מ-1023 |
1720 |
איתות על שיחות |
||
|
SCCP |
TCP |
נקודת קצה |
Unified CM, CUCxn |
גדול מ-1023 |
שנת 2000 |
איתות על שיחות |
||
|
SCCP |
TCP |
Unified CM |
Unified CM, שער |
גדול מ-1023 |
שנת 2000 |
איתות על שיחות |
||
|
MGCP |
UDP |
שער |
שער |
גדול מ-1023 |
2427 |
איתות על שיחות |
||
|
רקע MGCP |
TCP |
שער |
Unified CM |
גדול מ-1023 |
2428 |
איתות על שיחות |
||
|
SCCP (מאובטח) |
TCP |
נקודת קצה |
Unified CM, CUCxn |
גדול מ-1023 |
2443 |
איתות על שיחות |
||
|
SCCP (מאובטח) |
TCP |
Unified CM |
Unified CM, שער |
גדול מ-1023 |
2443 |
איתות על שיחות |
||
|
אימות אמון |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
2445 |
מתן שירות אימות אמון לנקודות קצה |
||
|
CTI |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
2748 |
חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager |
||
|
CTI מאובטח |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
2749 |
חיבור מאובטח בין יישומי CTI (JTAPI/TSP) לבין CTIManager |
||
|
קטלוג גלובלי של LDAP |
TCP |
יישומי UC |
נוכחות חיצונית |
גדול מ-1023 |
3268 |
סנכרון ספר טלפונים ללקוח LDAP |
||
|
קטלוג גלובלי של LDAP |
TCP |
יישומי UC |
נוכחות חיצונית |
גדול מ-1023 |
3269 |
סנכרון ספר טלפונים ללקוח LDAP |
||
|
שירות CAPF |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
3804 |
פונקציית Proxy של רשות Certificate Authority (CAPF) האזנה להנפקת אישורים משמעותיים מקומיים (LSC) לטלפוני IP |
||
|
SIP |
TCP |
נקודת קצה |
Unified CM, CUCxn |
גדול מ-1023 |
5060 |
איתות על שיחות |
||
|
SIP |
TCP |
Unified CM |
Unified CM, שער |
גדול מ-1023 |
5060 |
איתות על שיחות |
||
|
SIP (מאובטח) |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
5061 |
איתות על שיחות |
||
|
SIP (מאובטח) |
TCP |
Unified CM |
Unified CM, שער |
גדול מ-1023 |
5061 |
איתות על שיחות |
||
|
SIP (OAUTH) |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
5090 |
איתות על שיחות |
||
|
XMPP |
TCP |
לקוח Jabber |
IM&P של Cisco |
גדול מ-1023 |
5222 |
העברת הודעות מיידיות ונוכחות |
||
|
HTTP |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
6970 |
מוריד תצורה ותמונות לנקודות קצה |
||
|
HTTPS |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
6971 |
מוריד תצורה ותמונות לנקודות קצה |
||
|
HTTPS |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
6972 |
מוריד תצורה ותמונות לנקודות קצה |
||
|
HTTP |
TCP |
לקוח Jabber |
CUCxnName |
גדול מ-1023 |
7080 |
התראות דואר קולי |
||
|
HTTPS |
TCP |
לקוח Jabber |
CUCxnName |
גדול מ-1023 |
7443 |
הודעות דואר קולי מאובטחות |
||
|
HTTPS |
TCP |
Unified CM |
Unified CM |
גדול מ-1023 |
7501 |
משמש את שירות בדיקת מידע בין-אשכולות (ILS) לאימות מבוסס-תעודה |
||
|
HTTPS |
TCP |
Unified CM |
Unified CM |
גדול מ-1023 |
7502 |
משמש ILS לאימות מבוסס סיסמה |
||
|
דוא" ל |
TCP |
לקוח Jabber |
CUCxnName |
גדול מ-1023 |
7993 |
IMAP חלקי TLS |
||
|
HTTP |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
8080 |
URI של ספר טלפונים לתמיכה של נקודת קצה מדור קודם |
||
|
HTTPS |
TCP |
דפדפן, נקודת קצה |
יישומי UC |
גדול מ-1023 |
8443 |
גישה לאינטרנט עבור ממשקים לטיפול עצמי וניהול, UDS |
||
|
HTTPS |
TCP |
טלפון |
Unified CM |
גדול מ-1023 |
9443 |
חיפוש אנשי קשר מאומת |
||
|
תוכנות HTTP |
TCP |
נקודת קצה |
Unified CM |
גדול מ-1023 |
9444 |
תכונת ניהול אוזניות |
||
|
RTP/SRTP מאובטח |
UDP |
Unified CM |
טלפון |
16384 עד 32767 * |
16384 עד 32767 * |
מדיה (אודיו) - מוסיקה בהמתנה, אנונציו, גשר ועידה תוכנה (פתוח מבוסס על איתות שיחות) |
||
|
RTP/SRTP מאובטח |
UDP |
טלפון |
Unified CM |
16384 עד 32767 * |
16384 עד 32767 * |
מדיה (אודיו) - מוסיקה בהמתנה, אנונציו, גשר ועידה תוכנה (פתוח מבוסס על איתות שיחות) |
||
|
קוברה |
TCP |
לקוח |
CUCxnName |
גדול מ-1023 |
20532 |
גבו ושחזר את חבילת היישומים |
||
|
ICMP |
ICMP |
נקודת קצה |
יישומי UC |
לא רלוונטי |
לא רלוונטי |
איתות |
||
|
ICMP |
ICMP |
יישומי UC |
נקודת קצה |
לא רלוונטי |
לא רלוונטי |
איתות |
||
| DNS | UDP ו-TCP |
מעביר DNS |
שרתי DNS של מופע ייעודי |
גדול מ-1023 |
53 |
העברת DNS הנחת לקוח לשרתי DNS מופע ייעודי. ראה דרישות DNS לקבלת מידע נוסף. |
||
|
* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר. |
||||||||
מופע ייעודי – יציאות OTT
ניתן להשתמש ביצירה הבאה על-ידי לקוחות ושותפים להגדרת גישה ניידת ומרוחקת (MRA):
|
פרוטוקול |
TCP/UCP |
מקור |
יעד |
יציאת מקור |
יציאת יעד |
מטרה |
|---|---|---|---|---|---|---|
|
RTP/RTCP מאובטח |
UDP |
Expressway C |
לקוח |
גדול מ-1023 |
36000-59999 |
מדיה מאובטחת עבור שיחות MRA ו-B2B |
SIP trunk Inter-op בין ריבוי דיירים למופע ייעודי (רק עבור trunk מבוסס רישום)
יש לאפשר את רשימת היציאות הבאה בחומת האש של הלקוח עבור חיבור ה-SIP trunk המבוסס על רישום בין המופע הייעודי לבין ריבוי הדייר.
|
פרוטוקול |
TCP/UCP |
מקור |
יעד |
יציאת מקור |
יציאת יעד |
מטרה |
|---|---|---|---|---|---|---|
|
RTP/RTCP |
UDP |
ריבוי דיירים של Webex Calling |
לקוח |
גדול מ-1023 |
8000-48198 |
מדיה מ-Webex Calling Multitenant |
מופע ייעודי – יציאות UCCX
הרשימה הבאה של היציאות יכולה לשמש לקוחות ושותפים להגדרת UCCX.
|
פרוטוקול |
TCP / UCP |
מקור |
יעד |
יציאת מקור |
יציאת יעד |
מטרה |
|---|---|---|---|---|---|---|
|
SSH |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
22 |
SFTP ו-SSH |
|
אינפורמיקס |
TCP |
לקוח או שרת |
UCCX |
גדול מ-1023 |
1504 |
יציאת מסד נתונים של Contact Center Express |
|
SIP |
UDP ו-TCP |
שרת SIP GW או MCRP |
UCCX |
גדול מ-1023 |
5065 |
תקשורת לצמתי GW ו-MCRP מרוחקים |
|
XMPP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
5223 |
חיבור XMPP מאובטח בין שרת Finesse ויישומים מותאמים אישית של צד שלישי |
|
CVD |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
6999 |
עורך ליישומי CCX |
|
HTTPS |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
7443 |
חיבור BOSH מאובטח בין שרת FINESSE לבין שולחנות עבודה של נציגים ומפקחים לתקשורת דרך HTTPS |
|
HTTP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
8080 |
לקוחות דיווח בזמן אמת מתחברים לשרת socket.IO |
|
HTTP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
שנות ה-80 |
דפדפן לקוח מנסה לגשת לממשק האינטרנט של Cisco Unified Intelligence Center |
|
HTTP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
8443 |
ממשק משתמש גרפי, RTMT, גישת DB דרך SOAP |
|
HTTPS |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
8444 |
ממשק האינטרנט של Cisco Unified Intelligence Center |
|
HTTPS |
TCP |
לקוחות דפדפן ומנוחה |
UCCX |
גדול מ-1023 |
8445 |
יציאה מאובטחת עבור Finesse |
|
HTTPS |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
8447 |
HTTPS - עזרה מקוונת של Unified Intelligence Center |
|
HTTPS |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
8553 |
רכיבי כניסה יחידה (SSO) ניגשים לממשק זה כדי לדעת את מצב ההפעלה של מזהי Cisco. |
|
HTTP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
9080 |
לקוחות מנסים לגשת לגירויים או מסמכים / הנחיות / דקדוק / נתונים חיים. |
|
HTTPS |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
9443 |
יציאה מאובטחת המשמשת להגיב ללקוחות שמנסים לגשת לגירי HTTPS |
|
TCP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
12014 |
זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO |
|
TCP |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
12015 |
זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO |
|
CTI |
TCP |
לקוח |
UCCX |
גדול מ-1023 |
1202 |
לקוח CTI של צד שלישי ל-CCX |
|
RTP( מדיה) |
TCP |
נקודת קצה |
UCCX |
גדול מ-1023 |
גדול מ-1023 |
יציאת מדיה נפתחת באופן דינמי לפי הצורך |
|
RTP( מדיה) |
TCP |
לקוח |
נקודת קצה |
גדול מ-1023 |
גדול מ-1023 |
יציאת מדיה נפתחת באופן דינמי לפי הצורך |
אבטחת לקוח
אבטחת Jabber ו-Webex עם SIP OAuth
לקוחות Jabber ו-Webex מאומתים באמצעות אסימון OAuth במקום אישור משמעותי מקומי (LSC), שאינו דורש הפעלת פונקציית Proxy של רשות אישורים (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או ללא מצב מעורב הוצג ב-Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.
ב-Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת טלפון המאפשרת הצפנה ללא LSC/CAPF, באמצעות אבטחת שכבת תעבורה יחידה (TLS) + OAuth אסימון ב-SIP REGISTER. צמתי Expressway-C משתמשים ב-API של שירות ה-XML המנהלי (AXL) כדי ליידע את Cisco Unified CM של SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את CERT-C בעת יצירת חיבור TLS הדדי.
SIP OAuth מאפשר הצפנת מדיה ואיתות ללא אישור נקודת קצה (LSC).
Cisco Jabber משתמש ביציאות ארעיות ויציאות מאובטחות 6971 ו-6972 דרך חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה דרך HTTP.
פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth.
דרישות DNS
עבור המופע הייעודי Cisco מספק את ה-FQDN עבור השירות בכל אזור עם התבנית הבאה <customer>.<region>.wxc-di.webex.com לדוגמה, xyz.amer.wxc-di.webex.com.
ערך 'הלקוח' מסופק על-ידי מנהל המערכת כחלק מאשף ההגדרה הראשונה (FTSW). לקבלת מידע נוסף, עיין בהפעלת שירות מופע ייעודי.
רשומות DNS עבור FQDN זו צריכות להיות פתירות מחדש משרת ה-DNS הפנימי של הלקוח כדי לתמוך במכשירים מקומיים המתחברים למופע הייעודי. כדי להקל על הרזולוציה, הלקוח צריך להגדיר מעביר מותנה, עבור FQDN זה, בשרת ה-DNS שלו המצביע על שירות DNS של המופע הייעודי. שירות ה-DNS של המופע הייעודי הוא אזורי וניתן להגיע אליו באמצעות העצה למופע ייעודי, באמצעות כתובות ה-IP הבאות כפי שמוזכר בטבלה שלהלן Dedicated Instance DNS Service IP.
|
אזור/DC | כתובת IP של שירות DNS של מופע ייעודי |
דוגמה להעברה מותנית |
|---|---|---|
|
AMER |
<customer>.amer.wxc-di.webex.com | |
|
סטנסיליםStencils |
69.168.17.100 |
|
|
איפוס סיסמה |
69.168.17.228 |
|
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
|
לבנוןafrica. kgm |
178.215.138.100 |
|
|
באם |
178.215.138.228 |
|
|
EU |
<customer>.eu.wxc-di.webex.com |
|
|
פרה-אדום |
178.215.131.100 |
|
|
באם |
178.215.131.228 |
|
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
|
סינוס |
103.232.71.100 |
|
|
קוקסינל |
103.232.71.228 |
|
|
AUS |
<customer>.aus.wxc-di.webex.com | |
|
מל |
178.215.128.100 |
|
|
דו־ צדדי |
178.215.128.228 |
|
| אפשרות ה-Ping מושבתת עבור כתובות ה-IP של שרת ה-DNS שצוינו מטעמי אבטחה. |
עד שההעברה המותנית תתקיים, המכשירים לא יוכלו להירשם למופע הייעודי מהרשת הפנימית של הלקוחות באמצעות קישורי העצה. העברה מותנית אינה נדרשת לרישום דרך Mobile and Remote Access (MRA), מאחר שכל רשומות ה-DNS החיצוניות הנדרשות כדי להקל על MRA יוקצו מראש על-ידי Cisco.
בעת שימוש ביישום Webex כלקוח רך המתקשר שלך במופע ייעודי, יש להגדיר פרופיל מנהל UC ב-Control Hub עבור דומיין שירות קולי (VSD) של כל אזור. למידע נוסף, עיין בפרופילי מנהל UC ב-Cisco Webex Control Hub. יישום Webex יוכל לפתור אוטומטית את Expressway Edge של הלקוח ללא התערבות של משתמשי קצה.
| דומיין השירות הקולי יסופק ללקוח כחלק ממסמך הגישה של השותף לאחר השלמת הפעלת השירות. |
השתמש בנתב מקומי עבור רזולוציית DNS של טלפון
עבור טלפונים שאין להם גישה לשרתי DNS הארגוניים, ניתן להשתמש בנתב Cisco מקומי כדי להעביר בקשות DNS ל-DNS בענן של המופע הייעודי. פעולה זו מסירה את הצורך לפרוס שרת DNS מקומי ומספקת תמיכה מלאה ב-DNS כולל במטמון.
תצורה לדוגמה :
!
שרת IP DNS
ip name-שרת <DI DNS שרת IP DC1> <DI DNS שרת IP DC2>
!
| השימוש ב-DNS במודל פריסה זה הוא ספציפי לטלפונים וניתן להשתמש בו רק כדי לפתור את ה-FQDN של הדומיין מתוך המופע הייעודי של הלקוחות. |
חומרי עזר
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), נושא אבטחה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
מדריך אבטחה עבור Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
