- בית
- /
- מאמר
במאמר זהמסמך זה מתמקד בעיקר בדרישות הרשת והאבטחה עבור פתרון מופע ייעודי, כולל הגישה המרובדת לתכונות ולפונקציונליות המספקות גישה פיזית מאובטחת, רשת מאובטחת, נקודות קצה מאובטחות ויישומי Cisco UC מאובטחים.
דרישות רשת עבור מופע ייעודי
Webex Calling Dedicated Instance הוא חלק מתיק השיחות הענן של Cisco , המופעל על ידי טכנולוגיית שיתוף הפעולה של Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance מציעה פתרונות קול, וידאו, הודעות וניידות עם התכונות והיתרונות של טלפונים, מכשירים ניידים ולקוחות שולחניים של Cisco IP בצורה מאובטחת ל-Dedicated Instance.
מאמר זה מיועד למנהלי רשת, במיוחד למנהלי אבטחת חומת אש ופרוקסי שרוצים להשתמש במופע ייעודי בתוך הארגון שלהם.
סקירת אבטחה: אבטחה בשכבות
מופע ייעודי משתמש בגישה שכבתית לאבטחה. השכבות כוללות:
גישה פיזית
רשת
נקודות קצה
יישומי UC
הסעיפים הבאים מתארים את שכבות האבטחה ב מופע ייעודי פריסות.
ביטחון פיזי
חשוב לספק אבטחה פיזית למיקומי Equinix Meet-Me Room Cisco מופע ייעודי מתקני מרכז נתונים. כאשר האבטחה הפיזית נפגעת, ניתן ליזום התקפות פשוטות כגון הפרעת שירות על ידי כיבוי מתח למתגים של לקוח. עם גישה פיזית, תוקפים יכולים לקבל גישה להתקני שרת, לאפס סיסמאות ולקבל גישה למתגים. הגישה הפיזית מאפשרת גם התקפות מתוחכמות יותר כמו התקפות אדם-באמצע, ולכן שכבת האבטחה השנייה, אבטחת הרשת, היא קריטית.
כוננים מוצפנים עצמיים משמשים ב מופע ייעודי מרכזי נתונים המארחים יישומי UC.
למידע נוסף על נוהלי אבטחה כלליים, עיין בתיעוד במיקום הבא: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
אבטחת רשת
שותפים צריכים להבטיח שכל רכיבי הרשת מאובטחים מופע ייעודי תשתית (המתחברת דרך Equinix). באחריות השותף להבטיח שיטות אבטחה שיטות מומלצות כגון:
VLAN נפרד לקול ונתונים
הפעל אבטחת יציאות המגבילה את מספר כתובות MAC המותרות לכל יציאה, כנגד הצפה בטבלת CAM
משמר מקור IP נגד כתובות IP מזויפות
בדיקת ARP דינמית (DAI) בוחנת את פרוטוקול פתרון הכתובות (ARP) ו-ARP ללא תשלום (GARP) עבור הפרות (נגד זיוף ARP)
802.1x מגביל את הגישה לרשת לאימות התקנים ב-VLAN שהוקצו (טלפונים אכן תומכים ב-802.1x )
הגדרת איכות השירות (QoS) לסימון מתאים של מנות קול
חומת אש יציאת תצורות לחסימת כל תעבורה אחרת
אבטחת נקודות קצה
נקודות הקצה של Cisco תומכות בתכונות אבטחה ברירת מחדל כגון קושחה חתומה, אתחול מאובטח (דגמים נבחרים), אישור מותקן על ידי יצרן (MIC) וקובצי תצורה חתומים, המספקים רמת אבטחה מסוימת עבור נקודות קצה.
בנוסף, שותף או לקוח יכולים לאפשר אבטחה נוספת, כגון:
הצפנת שירותי טלפון IP (באמצעות HTTPS) עבור שירותים כגון ניידות שלוחה
הנפק אישורים בעלי משמעות מקומית (LSC) מפונקציית פונקציית Proxy של רשות Certificate Authority של רשות האישורים (CAPF) או מרשות אישורים ציבורית (CA)
הצפנת קבצי תצורה
הצפנת מדיה ואיתות
השבת את ההגדרות האלה אם לא נעשה בהן שימוש: יציאת מחשב מחשב, גישה ל- VLAN קולית מחשב , ARP ללא תשלום, גישה מקוון/באינטרנט , לחצן הגדרות, SSH, קונסולה
יישום מנגנוני אבטחה ב מופע ייעודי מונע גניבת זהות של הטלפונים ושל Unified CM server, שיבוש נתונים ושיבול איתות שיחות / זרם מדיה.
מופע ייעודי דרך הרשת:
מקים ומתחזק זרמי תקשורת מאומתים
חתימה דיגיטלית על קבצים לפני העברת הקובץ לטלפון
מצפין זרמי מדיה ואיתות שיחות בין טלפונים של Cisco Unified IP
אבטחה כברירת מחדל מספקת את תכונות האבטחה האוטומטיות הבאות עבור טלפונים של Cisco Unified IP :
חתימה על קבצי תצורת טלפון
תמיכה בהצפנת קבצי תצורת טלפון
HTTPS עם Tomcat ושירותי מקוון/באינטרנט אחרים (MIDlets)
עבור Unified CM Release 8.0 מאוחר יותר, תכונות האבטחה הללו מסופקות כברירת מחדל מבלי להפעיל את לקוח ה-Certificate Trust List (CTL).
שירות אימות אמוןמכיוון שיש מספר רב של טלפונים ברשת ולטלפונים IP יש זיכרון מוגבל, Cisco Unified CM פועלת כחנות אמון מרוחקת דרך שירות אימות האמון (TVS) כך שלא צריך להציב חנות אמון של אישורים בכל טלפון. טלפונים של Cisco IP יוצרים קשר עם שרת TVS לצורך אימות מכיוון שהם אינם יכולים לאמת חתימה או אישור באמצעות קבצי CTL או ITL. קל יותר לנהל חנות אמון מרכזית מאשר להחזיק את חנות האמון בכל טלפון Cisco Unified טלפון IP.
TVS מאפשרת לטלפונים של Cisco Unified IP לאמת שרתי יישומים, כגון שירותי EM , ספרייה ו-MIDlet, במהלך הקמת HTTPS.
רשימת אמון ראשוניתהקובץ Initial Trust List (ITL) משמש לאבטחה הראשונית, כך שנקודות הקצה יכולות לסמוך על Cisco Unified CM. ITL לא צריך שום תכונות אבטחה כדי להיות מופעלות באופן מפורש. קובץ ה-ITL נוצר באופן אוטומטי עם התקנת האשכול. המפתח הפרטי של שרת Unified CM Trivial File Transfer Protocol (TFTP) משמש לחתימה על קובץ ה-ITL.
כאשר האשכול או השרת של Cisco Unified CM נמצאים במצב לא מצב מאובטח , קובץ ה-ITL מוריד בכל טלפון IP נתמך של Cisco . שותף יכול להציג את התוכן של קובץ ITL באמצעות פקודת CLI, admin:show itl.
טלפונים IP של Cisco זקוקים לקובץ ITL כדי לבצע את המשימות הבאות:
תקשר בצורה מאובטחת ל- CAPF, תנאי מוקדם לתמיכה בהצפנת קובץ תצורה
אמת את חתימת קובץ תצורה
אימות שרתי יישומים, כגון שירותי EM , ספרייה ו-MIDlet במהלך הקמת HTTPS באמצעות TVS
אימות התקן, קבצים ואיתות מסתמכים על יצירת הקובץ Certificate Trust List (CTL), אשר נוצר כאשר השותף או הלקוח מתקין ומגדיר את Cisco Certificate Trust List Client.
קובץ CTL מכיל ערכים עבור השרתים או אסימוני האבטחה הבאים:
אסימון אבטחה של מנהל מערכת (SAST)
שירותי Cisco CallManager ו- Cisco TFTP הפועלים על אותו שרת
פונקציית פרוקסי של Certificate Authority (CAPF)
שרתי TFTP
חומת אש של ASA
קובץ CTL מכיל תעודת שרת, מפתח ציבורי, מספר סידורי, חתימה, שם מנפיק, שם נושא, פונקציית שרת, שם DNS כתובת IP עבור כל שרת.
אבטחת טלפון עם CTL מספקת את הפונקציות הבאות:
אימות של קבצי TFTP שהורדו (תצורה, מיקום, רשימת צלצולים וכן הלאה) באמצעות מפתח חתימה
הצפנה של קבצי תצורת TFTP באמצעות מפתח חתימה
איתות שיחות מוצפן עבור טלפונים IP
שמע שיחה מוצפן (מדיה) עבור טלפונים IP
מופע ייעודי מספק רישום נקודות קצה עיבוד שיחות. האיתות בין Cisco Unified CM לנקודות הקצה מבוסס על Secure Skinny Client Control Protocol (SCCP) או פרוטוקול התחלת הפעלה (SIP) וניתן להצפין באמצעות Transport Layer Security (TLS). המדיה מ/אל נקודות הקצה מבוססת על פרוטוקול תעבורה בזמן אמת (RTP) וניתנת להצפנה גם באמצעות Secure RTP (SRTP).
הפעלת מצב מעורב ב- Unified CM מאפשרת הצפנה של תעבורת מדיה מנקודות הקצה של Cisco ואליהן.
יישומי UC מאובטחים
מפעיל מצב מעורב במופע ייעודימצב מעורב מופעל כברירת מחדל ב מופע ייעודי .
הפעלת מצב מעורב ב מופע ייעודי מאפשרת את היכולת לבצע הצפנה של תעבורת האיתות תעבורת מדיה מנקודות הקצה של Cisco ואליהן.
במהדורת Cisco Unified CM 12.5(1), נוספה אפשרות חדשה לאפשר הצפנה של איתות ומדיה המבוססת על SIP OAuth במקום מצב מעורב/ CTL עבור לקוחות Jabber ו- Webex . לכן, במהדורת Unified CM 12.5(1), ניתן להשתמש ב- SIP OAuth ו- SRTP כדי לאפשר הצפנה עבור איתות ומדיה עבור לקוחות Jabber או Webex . הפעלת מצב מעורב ממשיכה להידרש עבור טלפונים של Cisco IP ונקודות קצה אחרות של Cisco בשלב זה. יש תוכנית להוסיף תמיכה עבור SIP OAuth בנקודות קצה 7800/8800 במהדורה עתידית.
אבטחת הודעות קוליותCisco Unity Connection מתחבר ל- Unified CM דרך יציאת TLS . כאשר מצב אבטחת המכשיר אינו מאובטח, Cisco Unity Connection מתחבר ל- Unified CM דרך יציאת SCCP .
כדי להגדיר אבטחה עבור יציאות Unified CM להעברת הודעות קוליות והתקני Cisco Unity המריצים התקני SCCP או Cisco Unity Connection המריצים SCCP, שותף יכול לבחור מצב אבטחת התקן מאובטח עבור היציאה. אם תבחר יציאת דואר קולי מאומת, ייפתח חיבור TLS , המאמת את המכשירים באמצעות החלפת אישורים הדדית (כל מכשיר מקבל את האישור של המכשיר השני). אם תבחר יציאת דואר קולי מוצפן, המערכת תחילה מאמתת את המכשירים ולאחר מכן שולחת זרמי קול מוצפנים בין המכשירים.
למידע נוסף על יציאות הודעות קוליות אבטחה, עיין ב: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
אבטחה עבור SRST, Trunks, Gateways, CUBE/SBC
שער התומך של Cisco Unified Survivable Remote Site Telephony (SRST) מספק משימות מוגבלות של עיבוד שיחות אם Cisco Unified CM פועל מופע ייעודי לא יכול להשלים את השיחה.
שערים מאובטחים התומכים ב- SRST מכילים תעודה בחתימה עצמית. לאחר ששותף מבצע משימות תצורת SRST ב- Unified CM Administration, Unified CM משתמש בחיבור TLS כדי לאמת עם שירות ספק האישורים שער מופעל-SRST. לאחר מכן מאחזר Unified CM את האישור שער מופעל-SRST ומוסיף את האישור למסד הנתונים של Unified CM .
לאחר שהשותף מאפס את ההתקנים התלויים ב- Unified CM Administration, שרת ה- TFTP מוסיף את אישור שער מופעל-SRST לקובץ cnf.xml של הטלפון ושולח את הקובץ לטלפון. לאחר מכן, טלפון מאובטח משתמש בחיבור TLS כדי ליצור אינטראקציה עם שער מופעל-SRST.
מומלץ להחזיק טראנקים מאובטחים לשיחה שמקורה מ- Cisco Unified CM אל השער עבור שיחות PSTN יוצאות או מעבר דרך Cisco Unified Border Element (CUBE).
טרנקי SIP יכולים לתמוך בשיחות מאובטחות הן עבור איתות והן עבור מדיה; TLS מספק הצפנת איתות ו- SRTP מספק הצפנת מדיה.
אבטחת תקשורת בין Cisco Unified CM ו-CUBE
לתקשורת מאובטחת בין Cisco Unified CM ו-CUBE, שותפים/לקוחות צריכים להשתמש תעודה בחתימה עצמית ב-CA.
לאישורים בחתימה עצמית:
CUBE ו- Cisco Unified CM מייצרים אישורים בחתימה עצמית
CUBE מייצאת אישור ל- Cisco Unified CM
Cisco Unified CM מייצאת אישור ל-CUBE
עבור אישורים חתומים על ידי CA:
הלקוח יוצר צמד מפתחות ושולח בקשת חתימת אישורים (CSR) Certificate Authority (CA)
ה-CA חותם עליו עם המפתח הפרטי שלו, ויוצר אישור זהות
הלקוח מתקין את רשימת ה-CA Root ואישורי מתווך מהימנים ואת תעודת הזהות
אבטחה עבור נקודות קצה מרוחקת
עם נקודות קצה ניידות וגישה Remote Access (MRA), האיתות והמדיה מוצפנים תמיד בין נקודות הקצה של MRA וצמתי הנתיב המהיר. אם נעשה שימוש בפרוטוקול Interactive Connectivity Establishment (ICE) עבור נקודות קצה MRA, נדרשת איתות והצפנת מדיה של נקודות הקצה של MRA. עם זאת, הצפנה של האיתות והמדיה בין Expressway-C לבין שרתי Unified CM הפנימיים, נקודות קצה פנימיות או התקנים פנימיים אחרים, דורשים מצב מעורב או SIP OAuth.
Cisco Expressway מספקת מעבר מאובטח של חומת אש ותמיכה בצד הקו עבור רישומי Unified CM . Unified CM מספקת בקרת שיחות הן עבור נקודות קצה ניידות והן עבור נקודות קצה מקומי . איתות חוצה את פתרון הנתיב המהיר בין נקודת הקצה המרוחקת ל- Unified CM. מדיה חוצה את פתרון הנתיב המהיר ומועברת ישירות בין נקודות הקצה. כל המדיה מוצפנת בין ה-Expressway-C לנקודת הקצה הניידת.
כל פתרון MRA דורש Expressway ו- Unified CM, עם לקוחות רכים תואמי MRA ו/או נקודות קצה קבועות. הפתרון יכול לכלול אופציונלי את שירות ה- הודעה מיידית שירות נוכחות ו- Unity Connection.
סיכום פרוטוקול
הטבלה הבאה מציגה את הפרוטוקולים והשירותים המשויכים בשימוש בפתרון Unified CM .
פרוטוקול | אבטחה | שירות |
|---|---|---|
SIP | TLS | הקמת מושב: הרשמה, הזמנה וכו'. |
HTTPS | TLS | כניסה, הקצאה/תצורה, ספרייה, דואר קולי חזותי |
מדיה | SRTP | מדיה: אודיו, וידאו, שיתוף תוכן |
XMPP | TLS | העברת הודעות מיידיות, נוכחות, פדרציה |
למידע נוסף על תצורת MRA, ראה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
אפשרויות תצורה
ה מופע ייעודי מספק לפרטנר גמישות להתאמה אישית של שירותים עבור משתמשי קצה באמצעות שליטה מלאה בתצורות היום השני. כתוצאה מכך, השותף הוא האחראי הבלעדי לתצורה נכונה של מופע ייעודי שירות עבור סביבת משתמש הקצה. זה כולל, אך לא מוגבל ל:
בחירת שיחות מאובטחות/לא מאובטחות, פרוטוקולים מאובטחים/לא מאובטחים כגון SIP/sSIP, http/https וכו' והבנת כל הסיכונים הנלווים.
עבור כל כתובות MAC שאינן מוגדרות כמאובטחות- SIP in מופע ייעודי , תוקף יכול לשלוח הודעת SIP Register באמצעות כתובת MAC זו ולהיות מסוגל לבצע שיחות SIP , וכתוצאה מכך הונאת אגרה. התנאי הוא שהתוקף יוכל לרשום את מכשיר SIP/תוכנה שלו מופע ייעודי ללא אישור אם הם יודעים את כתובת MAC של מכשיר הרשום ב מופע ייעודי .
יש להגדיר מדיניות שיחות Expressway-E, כללי שינוי וכלי חיפוש כדי למנוע הונאת אגרה. למידע נוסף על מניעת הונאת אגרה באמצעות כבישים מהירים, עיין בסעיף אבטחה עבור כביש מהיר C וכביש מהיר-E של שיתוף פעולה SRND .
תצורת תוכנית חיוג כדי להבטיח שמשתמשים יכולים לחייג רק ליעדים מותרים, למשל, לאסור חיוג לאומי/בינלאומי, שיחות חירום מנותבות כהלכה וכו'. למידע נוסף על החלת הגבלות באמצעות תוכנית חיוג, עיין ב- תוכנית חיוג סעיף של שיתוף פעולה SRND.
דרישות תעודה עבור חיבורים מאובטחים במופע ייעודי
עבור מופע ייעודי, Cisco תספק את הדומיין ותחתום על כל האישורים עבור יישומי UC באמצעות Certificate Authority ציבורית (CA).
מופע ייעודי – מספרי יציאות ופרוטוקולים
הטבלאות הבאות מתארות את היציאות והפרוטוקולים הנתמכים במופע ייעודי. יציאות המשמשות עבור לקוח נתון תלויות בפריסה ובפתרון של הלקוח. פרוטוקולים תלויים בהעדפת הלקוח (SCCP לעומת SIP), במכשירים מקומיים קיימים ובאיזו רמה של אבטחה לקבוע באילו יציאות יש להשתמש בכל פריסה.
 | המופע הייעודי לא מאפשר תרגום כתובות רשת (NAT) בין נקודות הקצה ל-Unified CM משום שחלק מתכונות זרימת השיחה לא יעבדו, לדוגמה, התכונה באמצע השיחה. |
מופע ייעודי - יציאות לקוחות
היציאות הזמינות ללקוחות - בין הלקוח מקומי למופע הייעודי מוצגות בטבלה 1 יציאות לקוחות ייעודיות למופע . כל היציאות המפורטות להלן מיועדות לתנועת לקוחות שעוברת את קישורי ההצצה.
| יציאת SNMP פתוחה כברירת מחדל רק עבור Cisco Emergency Responder כדי לתמוך בפונקציונליות שלה. מכיוון שאיננו תומכים בשותפים או בלקוחות המעקבים אחר יישומי UC הפרוסים בענן המופע הייעודי, איננו מאפשרים פתיחת יציאת SNMP עבור יישומי UC אחרים. |
 | יציאות בטווח 5063 עד 5080 שמורות על-ידי Cisco עבור שילובים אחרים בענן, מנהלי מערכת של שותף או של לקוח מומלצים לא להשתמש ביציאות אלה בתצורות שלהם. |
פרוטוקול | TCP/UDP | מקור | יעד | יציאת מקור | יציאת יעד | מטרה | ||
|---|---|---|---|---|---|---|---|---|
SSH |
TCP |
לקוח |
יישומי UC
|
יותר מ-1023 |
22 |
ניהול |
||
TFTP |
UDP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
69 |
תמיכה בנקודות קצה מדור קודם |
||
LDAP |
TCP |
יישומי UC |
ספרייה חיצונית |
יותר מ-1023 |
389 |
סנכרון ספריות ל- LDAP של הלקוח |
||
HTTPS |
TCP |
דפדפן |
יישומי UC |
יותר מ-1023 |
443 |
גישה מקוון/באינטרנט לטיפול עצמי וממשקי ניהול |
||
דואר יוצא (מאבטח) |
TCP |
יישום UC |
CUCxn |
יותר מ-1023 |
587 |
משמש לחיבור ושליחת הודעות מאובטחות לכל נמען ייעודי |
||
LDAP (מאבטח) |
TCP |
יישומי UC |
ספרייה חיצונית |
יותר מ-1023 |
636 |
סנכרון ספריות ל- LDAP של הלקוח |
||
H323 |
TCP |
שער |
Unified CM |
יותר מ-1023 |
1720 |
איתות שיחות |
||
H323 |
TCP |
Unified CM |
Unified CM |
יותר מ-1023 |
1720 |
איתות שיחות |
||
SCCP |
TCP |
נקודת קצה |
Unified CM, CUCxn |
יותר מ-1023 |
2000 |
איתות שיחות |
||
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
יותר מ-1023 |
2000 |
איתות שיחות |
||
MGCP |
UDP |
שער |
שער |
יותר מ-1023 |
2427 |
איתות שיחות |
||
רקע MGCP |
TCP |
שער |
Unified CM |
יותר מ-1023 |
2428 |
איתות שיחות |
||
SCCP (מאבטח) |
TCP |
נקודת קצה |
Unified CM, CUCxn |
יותר מ-1023 |
2443 |
איתות שיחות |
||
SCCP (מאבטח) |
TCP |
Unified CM |
Unified CM, Gateway |
יותר מ-1023 |
2443 |
איתות שיחות |
||
אימות אמון |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
2445 |
מתן שירות אימות אמון לנקודות קצה |
||
CTI |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
2748 |
חיבור בין יישומי CTI (JTAPI/TSP) ו-CTIManager |
||
CTI מאובטח |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
2749 |
חיבור מאובטח בין יישומי CTI (JTAPI/TSP) לבין CTIManager |
||
קטלוג גלובלי של LDAP |
TCP |
יישומי UC |
ספרייה חיצונית |
יותר מ-1023 |
3268 |
סנכרון ספריות ל- LDAP של הלקוח |
||
קטלוג גלובלי של LDAP |
TCP |
יישומי UC |
ספרייה חיצונית |
יותר מ-1023 |
3269 |
סנכרון ספריות ל- LDAP של הלקוח |
||
שירות CAPF |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
3804 |
יציאת האזנה לפונקציית פרוקסי של Certificate Authority (CAPF) להנפקת אישורים בעלי משמעות מקומית (LSC) לטלפונים IP |
||
SIP |
TCP |
נקודת קצה |
Unified CM, CUCxn |
יותר מ-1023 |
5060 |
איתות שיחות |
||
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
יותר מ-1023 |
5060 |
איתות שיחות |
||
SIP (מאבטח) |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
5061 |
איתות שיחות |
||
SIP (מאבטח) |
TCP |
Unified CM |
Unified CM, Gateway |
יותר מ-1023 |
5061 |
איתות שיחות |
||
SIP (OAUTH) |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
5090 |
איתות שיחות |
||
XMPP |
TCP |
לקוח ג'אבר |
Cisco IM&P |
יותר מ-1023 |
5222 |
העברת הודעות מיידיות ונוכחות |
||
HTTP |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
6970 |
הורדת תצורה ותמונות לנקודות קצה |
||
HTTPS |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
6971 |
הורדת תצורה ותמונות לנקודות קצה |
||
HTTPS |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
6972 |
הורדת תצורה ותמונות לנקודות קצה |
||
HTTP |
TCP |
לקוח ג'אבר |
CUCxn |
יותר מ-1023 |
7080 |
הודעות דואר קולי |
||
HTTPS |
TCP |
לקוח ג'אבר |
CUCxn |
יותר מ-1023 |
7443 |
התראות דואר קולי מאובטח |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
יותר מ-1023 |
7501 |
בשימוש על ידי שירות חיפוש בין-אשכולות (ILS) עבור אימות מבוסס תעודות |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
יותר מ-1023 |
7502 |
משמש את ILS לאימות מבוסס סיסמה |
||
IMAP |
TCP |
לקוח ג'אבר |
CUCxn |
יותר מ-1023 |
7993 |
IMAP על TLS |
||
HTTP |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
8080 |
מדריך URI לתמיכה בנקודות קצה מדור קודם |
||
HTTPS |
TCP |
דפדפן, נקודת קצה |
יישומי UC |
יותר מ-1023 |
8443 |
גישה מקוון/באינטרנט לטיפול עצמי וממשקי ניהול, UDS |
||
HTTPS |
TCP |
טלפון |
Unified CM |
יותר מ-1023 |
9443 |
חיפוש אנשי קשר מאומת |
||
HTTPs |
TCP |
נקודת קצה |
Unified CM |
יותר מ-1023 |
9444 |
תכונת ניהול אוזניות |
||
RTP/ SRTP מאובטח |
UDP |
Unified CM |
טלפון |
16384 עד 32767 * |
16384 עד 32767 * |
מדיה (אודיו) - מוסיקה בהמתנה, קריין, גשר ועידות תוכנה (פתוח מבוסס על איתות שיחה) |
||
RTP/ SRTP מאובטח |
UDP |
טלפון |
Unified CM |
16384 עד 32767 * |
16384 עד 32767 * |
מדיה (אודיו) - מוסיקה בהמתנה, קריין, גשר ועידות תוכנה (פתוח מבוסס על איתות שיחה) |
||
COBRAS |
TCP |
לקוח |
CUCxn |
יותר מ-1023 |
20532 |
גבו ושחזר את חבילת היישומים |
||
ICMP |
ICMP |
נקודת קצה |
יישומי UC |
לא רלוונטי |
לא רלוונטי |
איתות |
||
ICMP |
ICMP |
יישומי UC |
נקודת קצה |
לא רלוונטי |
לא רלוונטי |
איתות |
||
| DNS | UDP ו-TCP | מעביר DNS |
שרתי DNS של מופע ייעודי |
יותר מ-1023 |
53 | העברת DNS הנחת לקוח לשרתי DNS מופע ייעודי. ראה דרישות DNS לקבלת מידע נוסף. |
||
* מקרים מיוחדים מסוימים עשויים להשתמש בטווח גדול יותר. |
||||||||
מופע ייעודי – יציאות OTT
היציאה הבאה יכולה לשמש לקוחות ושותפים להגדרת גישה לנייד וגישה Remote Access (MRA):
פרוטוקול | TCP/UCP | מקור | יעד | יציאת מקור | יציאת יעד | מטרה |
|---|---|---|---|---|---|---|
מאובטח RTP/ RTCP |
UDP |
כביש מהיר C |
לקוח |
יותר מ-1023 |
36000-59999 |
מדיה מאובטחת לשיחות MRA ו-B2B |
SIP trunk Inter-op בין ריבוי דיירים למופע ייעודי (רק עבור trunk מבוסס רישום)
יש לאפשר את רשימת היציאות הבאה בחומת האש של הלקוח עבור חיבור ה-SIP trunk המבוסס על רישום בין המופע הייעודי לבין ריבוי הדייר.
פרוטוקול | TCP/UCP | מקור | יעד | יציאת מקור | יציאת יעד | מטרה |
|---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
ריבוי דיירים של Webex Calling |
לקוח |
יותר מ-1023 |
8000-48198 |
מדיה מ-Webex Calling Multitenant |
מופע ייעודי – יציאות UCCX
רשימת היציאות הבאה יכולה לשמש לקוחות ושותפים להגדרת UCCX.
פרוטוקול | TCP / UCP | מקור | יעד | יציאת מקור | יציאת יעד | מטרה |
|---|---|---|---|---|---|---|
SSH |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
22 |
SFTP ו-SSH |
אינפורמיקס |
TCP |
לקוח או שרת |
UCCX |
יותר מ-1023 |
1504 |
יציאת מסד נתונים של Contact Center Express |
SIP |
UDP ו-TCP |
שרת SIP GW או MCRP |
UCCX |
יותר מ-1023 |
5065 |
תקשורת לצמתי GW ו-MCRP מרוחקים |
XMPP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
5223 |
חיבור XMPP מאובטח בין שרת Finesse ליישומי צד שלישי מותאמים אישית |
CVD |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
6999 |
עורך ליישומי CCX |
HTTPS |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
7443 |
חיבור BOSH מאובטח בין שרת Finesse למחשבים שולחניים של סוכן ומנהל לתקשורת באמצעות HTTPS |
HTTP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8080 |
לקוחות דיווח בזמן אמת מתחברים לשרת socket.IO |
HTTP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8081 |
דפדפן לקוח מנסה לגשת ממשק אינטרנט של Cisco Unified Intelligence Center |
HTTP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8443 |
ממשק משתמש גרפי, RTMT, גישת DB דרך SOAP |
HTTPS |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8444 |
ממשק אינטרנט של Cisco Unified Intelligence Center |
HTTPS |
TCP |
לקוחות דפדפן ו-REST |
UCCX |
יותר מ-1023 |
8445 |
יציאה מאובטחת עבור Finesse |
HTTPS |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8447 |
HTTPS - עזרה מקוונת של מרכז מודיעין מאוחד |
HTTPS |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
8553 |
רכיבי כניסה יחידה (SSO) ניגשים לממשק זה כדי לדעת את מצב ההפעלה של מזהי Cisco. |
HTTP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
9080 |
לקוחות המנסים לגשת לטריגרים של HTTP או למסמכים/הנחיות/דקדוקים/ נתונים בזמן אמת. |
HTTPS |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
9443 |
יציאה מאובטחת משמשת להגיב ללקוחות המנסים לגשת לטריגרים של HTTPS |
TCP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
12014 |
זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO |
TCP |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
12015 |
זהו הנמל שבו לקוחות דיווח על נתונים חיים יכולים להתחבר לשרת socket.IO |
CTI |
TCP |
לקוח |
UCCX |
יותר מ-1023 |
12028 |
לקוח CTI של צד שלישי ל-CCX |
RTP(מדיה) |
TCP |
נקודת קצה |
UCCX |
יותר מ-1023 |
יותר מ-1023 |
יציאת המדיה נפתחת באופן דינמי לפי הצורך |
RTP(מדיה) |
TCP |
לקוח |
נקודת קצה |
יותר מ-1023 |
יותר מ-1023 |
יציאת המדיה נפתחת באופן דינמי לפי הצורך |
אבטחת לקוח
אבטחת Jabber ו- Webex עם SIP OAuth
לקוחות Jabber ו- Webex מאומתים באמצעות אסימון OAuth במקום אישור בעל משמעות מקומית (LSC), שאינו דורש הפעלת פונקציית Proxy של רשות Certificate Authority (CAPF) (גם עבור MRA). SIP OAuth שעובד עם או בלי מצב מעורב הוצג ב- Cisco Unified CM 12.5(1), Jabber 12.5 ו-Expressway X12.5.
ב- Cisco Unified CM 12.5, יש לנו אפשרות חדשה בפרופיל אבטחת הטלפון המאפשרת הצפנה ללא LSC/ CAPF, באמצעות Transport Layer Security יחידה (TLS) + אסימון OAuth ב- SIP REGISTER. צמתים של Expressway-C משתמשים ב- API של Administrative XML מקוון/באינטרנט Service (AXL ) כדי ליידע את Cisco Unified CM על ה-SN/SAN בתעודה שלהם. Cisco Unified CM משתמש במידע זה כדי לאמת את אישור Exp-C בעת יצירת חיבור TLS הדדי.
SIP OAuth מאפשר הצפנת מדיה ואיתות ללא אישור נקודת קצה (LSC).
Cisco Jabber משתמש ביציאות ארעיות וביציאות מאובטחות 6971 ו-6972 באמצעות חיבור HTTPS לשרת TFTP כדי להוריד את קובצי התצורה. יציאה 6970 היא יציאה לא מאובטחת להורדה באמצעות HTTP.
פרטים נוספים על תצורת SIP OAuth: מצב SIP OAuth .
דרישות DNS
עבור מופע ייעודי Cisco מספקת את ה-FQDN עבור השירות בכל אזור בפורמט הבא<customer> .<region> .wxc-di.webex.com למשל, xyz.amer.wxc-di.webex.com .
הערך 'לקוח' מסופק על ידי מנהל המערכת כחלק אשף הגדרה ראשונה (FTSW). למידע נוסף עיין ב הפעלת שירות מופע ייעודי .
רשומות DNS עבור FQDN זה צריכות להיות ניתנות לפתרון משרת ה- שרת DNS הפנימי של הלקוח כדי לתמוך בהתקנים מקומיים המתחברים למופע הייעודי. כדי להקל על הפתרון, הלקוח צריך להגדיר מעביר מותנה, עבור FQDN זה, שרת DNS שלו המצביע על שירות DNS של מופע ייעודי. שירות DNS של מופע ייעודי הוא אזורי וניתן להגיע אליו, באמצעות הצצה למופע ייעודי, באמצעות כתובות IP הבאות כפי שצוינו בטבלה למטה כתובת IP של שירות DNS של מופע ייעודי .
אזור/DC | כתובת IP של שירות DNS של מופע ייעודי | דוגמה להעברה מותנית |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
חטא |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
| אפשרות הפינג מושבתת עבור כתובות IP של שרת DNS שהוזכרו לעיל מטעמי אבטחה. |
עד לביצוע ההעברה המותנית, מכשירים לא יוכלו להירשם למופע הייעודי מהרשת הפנימית של הלקוחות דרך קישורי ההצצה. העברה מותנית אינה נדרשת לרישום באמצעות Remote Access ניידת ומרוחקת (MRA), מכיוון שכל רשומות DNS החיצוניות הנדרשות כדי להקל על MRA יוקצו מראש על ידי Cisco.
בעת שימוש באפליקציית Webex כלקוח הרך המתקשר שלך במופע ייעודי, יש להגדיר פרופיל UC Manager ב-Control Hub עבור תחום שירות הקול (VSD) של כל אזור. למידע נוסף עיין ב פרופילי מנהל UC ב- Cisco Webex Control Hub . אפליקציית Webex תוכל לפתור אוטומטית את Expressway Edge של הלקוח ללא כל התערבות של משתמש קצה .
| דומיין שירות קולי יסופק ללקוח כחלק ממסמך הגישה לשותף לאחר השלמת הפעלת השירות. |
חומרי עזר
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), נושא אבטחה: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
מדריך אבטחה עבור Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
