Mrežni zahtjevi za Webex za vladu (FedRAMP)

Mrežni zahtjevi za Webex za vladu (FedRAMP).

FedRAMP Webex Meetings Ports and IP Ranges.

FedRAMP sastanci/Webex za vladine

sastanke Portovi i IP rasponi Brza referenca
Sljedeće IP raspone koriste web stranice koje se koriste na FedRAMP skupu sastanaka. Za potrebe ovog dokumenta ti rasponi nazivaju se „Webex IP rasponi”:

170.133.156.0/22 (170.133.156.0 do 170.133.159.255)
207.182.160.0/21 (207.182.160.0 do 207.182.167.255)
207.182.168.0/23 (207.182.168.0 do 207.182.169.255)
207.182.176.0/22 (207.182.176.0 do 207.182.179.255)
207.182.190.0/23 (207.182.190.0 do 207.182.191.255)
216.151.130.0/24 (216.151.130.0 do 216.151.130.255)
216.151.134.0/24 (216.151.134.0 do 216.151.134.255)
216.151.135.0/25 (216.151.135.0 do 216.151.135.127)
216.151.135.240/28 (216.151.135.240 do 216.151.135.255)
216.151.138.0/24 (216.151.138.0 do 216.151.138.255)
216.151.139.0/25 (216.151.139.0 do 216.151.139.127)
216.151.139.240/28 (216.151.139.241 do 216.151.139.254)

Usluge koje se upotrebljavaju na ovom IP području uključuju, ali nisu ograničene na, sljedeće:

Web-mjesto sastanka (npr. Customerite.webex.com)
Sastanak s poslužiteljima podataka
Multimedijalni poslužitelji za računalni audio (VoIP) i webcam video
XML/API usluge, uključujući zakazivanje alata za produktivnost
Mrežni poslužitelji za snimanje (NBR)
Sekundarne usluge kada su primarne usluge u održavanju ili imaju tehničkih poteškoća

Sljedeći URI-i koriste se za provjeru „Popisa opoziva certifikata” za naše sigurnosne certifikate. Popisi opoziva certifikata kako bi se osiguralo da se ne mogu koristiti kompromitirani certifikati za presretanje sigurnog Webex prometa. Taj se promet odvija na TCP portu 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdenTrust certifikati)

Napomena:
Sljedeće UserAgents će proći Webex po utiltp procesu u Webex, i treba biti dopušteno kroz zaštitni zid agencije:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=pripravno stanje

https://activation.webex.com/api/v1/ping kao dio dopuštenih URL-ova. Koristi se kao dio procesa aktivacije uređaja i "uređaj ga koristi prije nego što uređaj sazna da je FedRAMP uređaj. Uređaj mu samo šalje aktivacijski kod koji nema FedRAMP informacije, servis vidi da je to FedRAMP aktivacijski kod i onda ih preusmjerava."

Sav FedRAMP promet obvezan je koristiti TLS 1.2 Šifriranje i mTLS 1.2 Šifriranje za uređaje registrirane u SIP-u:

Pristaništa koja koriste klijenti Webex sastanka (uključujući uređaje registrirane u oblaku)
Protokol	Broj(i) porta	Uputa	Vrsta prometa	Raspon IP-a	Komentari
TCP	80/443	Izlaz za Webex	HTTP, HTTPS	Webex i AWS (Ne preporučuje se filtrirati prema IP)	.webex.com .gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (Ovo se koristi za posluživanje statičkog sadržaja i datoteka) Webex preporučuje filtriranje prema URL-u. Ako filtrirate prema IP adresi, morate dopustiti AWS GovCloud, Cloudfront i Webex IP raspone
TCP/UDP	53	Izlaz na lokalni DNS	Usluge naziva domene (DNS)	Samo DNS poslužitelj	Koristi se za DNS pretraživanja za otkrivanje IP adresa Webex poslužitelja u oblaku. Iako se tipične DNS pretrage obavljaju preko UDP-a, neke mogu zahtijevati TCP, ako se odgovori na upit ne mogu uklopiti u UDP pakete
UDP	9000, 5004/	Izlaz za Webex	Primarni Webex klijentski mediji (VoIP i video RTP)	Webex	Webex klijentski medijski port koristi se za razmjenu računalnih audio zapisa, videokamera i tokova za dijeljenje sadržaja. Otvaranje ovog porta potrebno je kako bi se osiguralo najbolje moguće medijsko iskustvo
TCP	5004, 443, 80	Izlaz za Webex	Alternativni Webex klijentski mediji (VoIP i video RTP)	Webex	Padajući priključci za medijsku povezivost kada UDP priključak 9000 nije otvoren u vatrozidu
UDP/TCP	Zvuk: 52000 do 52049 Video:52100 do 52199	Dolazno na vašu mrežu	Webex Client Media(Voip i Video)	Povratak s AWS-a i Webexa	Webex će komunicirati s odredišnom lukom koja je primljena kada klijent uspostavi vezu. Potrebno je konfigurirati vatrozid kako bi se omogućilo vraćanje tih veza. Napomena: To je omogućeno prema zadanim postavkama.
TCP/UDP	OS-specifični ephemeral porti	Dolazno na vašu mrežu	Povratni promet iz Webexa	Povratak s AWS-a i Webexa	Webex će komunicirati s odredišnom lukom koja je primljena kada klijent uspostavi vezu. Potrebno je konfigurirati vatrozid kako bi se omogućilo vraćanje tih veza. Napomena: to se obično automatski otvara u državnom vatrozidu, međutim ovdje je navedeno za potpunost

Za korisnike koji omogućuju Webex za vladu, a nisu u mogućnosti dopustiti filtriranje na temelju URL-a za HTTPS, morat ćete omogućiti povezivanje s AWS Gov Cloud West (regija: nas- vlada -zapad-1) i Cloud Front (usluga: CLOUDFRONT). Pregledajte dokumentaciju AWS-a kako biste identificirali raspone IP-a za AWS Gov Cloud West regiju i AWS Cloud Front. AWS dokumentacija dostupna je na https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webexu i preporučuje filtriranje prema URL-u kada je to moguće.

Cloudfront se koristi za statički sadržaj isporučen putem Mreže za isporuku sadržaja kako bi korisnicima pružio najbolje performanse diljem zemlje.

Pristaništa koja koriste registrirani uređaji Cisco Video Collaboration (pogledajte i Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings)
Protokol	Broj(i) porta	Uputa	Vrsta pristupa	Raspon IP-a	Komentari
TCP	5061-5070	Izlaz za Webex	SIP signaliziranje	Webex	Webexov medijski rub osluškuje ove portove
TCP	5061, 5065	Dolazno na vašu mrežu	SIP signaliziranje	Webex	Ulazni SIP Signalizacija prometa iz Webex oblaka
TCP	5061	Dolazno na vašu mrežu	SIP signalizacija s uređaja registriranih u oblaku	AWS	Dolazni pozivi iz aplikacije Webex 1:1 Pozivanje i Cloud registriranih uređaja na vaš SIP uri registriran na licu mjesta. *5061 je zadani priključak. Webex podržava 5061-5070 portove koje će korisnici koristiti kako je definirano u njihovom SIP SRV zapisu
TCP/UDP	1719, 1720, 15000-19999	I ulaz i izlaz	H.323 LS	Webex	Ako vaša krajnja točka zahtijeva komunikaciju vratara, otvorite i port 1719 koji uključuje Lifesize
TCP/UDP	Ephemeral Ports, 36000-59999	I ulaz i izlaz	Priključci za medije	Webex	Ako koristite Cisco Expressway, rasponi medija moraju biti podešeni na 36000-59999. Ako koristite krajnju točku treće strane ili kontrolu poziva, potrebno ih je konfigurirati kako biste koristili ovaj raspon
TCP	443	Odlazni video uređaj registriran u prostor	Blizina uređaja na licu mjesta	Lokalna mreža	Webex aplikacija ili Webex Desktop aplikacija mora imati IPv4 rutu između sebe i video uređaja pomoću HTTPS-a

Za korisnike koji omogućuju Webex za vladu primanje dolaznih poziva iz aplikacije Webex 1:1 Pozivanje i Cloud registriranih uređaja na vaš SIP uri registriran u prostorijama. Također morate omogućiti povezivanje s AWS Gov Cloud West (regija: nas- vlada -zapad-1). Pregledajte dokumentaciju AWS-a kako biste identificirali raspone IP-a za AWS Gov Cloud West regiju. AWS dokumentacija dostupna je na https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html

Priključci koje koristi Webex Edge Audio (potreban samo za korisnike koji koriste Webex Edge Audio)
Protokol	Broj(i) porta	Uputa	Vrsta pristupa	Raspon IP-a	Komentari
TCP	5061, 5062	Dolazno na vašu mrežu	SIP signaliziranje	Webex	Dolazna SIP signalizacija za Webex Edge Audio
TCP	5061, 5065	Izlaz za Webex	SIP signaliziranje	Webex	SIP signalizacija na izlazu za Webex Edge Audio
TCP/UDP	Ephemeral Ports, 8000-59999	Dolazno na vašu mrežu	Priključci za medije	Webex	Na vatrozidu poduzeća potrebno je otvoriti luke za dolazni promet na brzu cestu s rasponom luka od 8000 - 59999

Za konfiguriranje mTLS-a pogledajte u nastavku:

Konfigurirajte | uzajamnu provjeru autentičnosti TLS-a na Expresswayu.
Podržana tijela za izdavanje korijenskih certifikata | Cisco Webex Audio i Video Platforms.
Cisco Webex Edge Audio | Configuration Guide.