- Početak
- /
- Članak
Sigurnosni zahtjevi za Webex Calling
Ovaj je članak namijenjen mrežnim administratorima, posebno administratorima vatrozida i sigurnosti proxyja koji žele upotrebljavati uslugu Webex Calling unutar svoje organizacije.
Referentne informacije o ulazima za zahtjeve po pitanju vatrozida i pristupa potražite u odjeljku Referentne informacije o ulazima za Cisco Webex Calling.
Zahtjevi za krajnje točke
Webex Calling Edge
Za obavljanje SIP registracije ili poziva izvršite sljedeće korake:
-
Za aktivne Edge čvorove otkrijte adresu glavnog računala krajnje točke za SIP.
-
Ispunite sve preduvjete vezane uz korisnika i konfiguraciju uređaja.
-
Kako biste započeli otkrivanje usluge, provjerite je li krajnja točka povezana s javnom mrežom.
-
Dovršite preduvjete za samopokretanje krajnje točke s konfiguracijom omogućavanja specifičnom za regiju ili podatkovni centar. Ova konfiguracija pomaže pri dobivanju relevantnog sufiksa naziva domene za otkrivanje usluge.
IPv4 u odnosu na IPv6
Uređaji mogu raditi u načinu rada s jednom verzijom ili dvostrukim stogovima. To je konfiguracija koja određuje promjene preferiranog protokola, pri čemu te promjene nisu dio otkrivanja usluge.
-
Način rada s jednim stogom – omogućuje samo jedan IP protokol (na primjer, IPv4), zanemarujući druge adrese protokola.
-
Način rada s dvostrukim stogovima – odabire željenu IP verziju kroz konfiguraciju.
Klijent smatra kako je prioritet za sve preferirane adrese niži (preferirani) u odnosu na sve adrese IP-a. Ako je IPv4 preferiran, isprobat će se sve IPv4 adrese prije pokušaja upotrebe IPv6 adrese. Ako nijedna adresa ne uspije, ciklus će započeti ponovno s preferiranom adresom protokola najnižeg prioriteta.
Mobilni klijent koji se registrira nakon primitka push obavijesti može odlučiti optimizirati način rada na temelju prethodnih registracija.
Razrješavanje adrese glavnog računala iz adrese DNS SRV-a
U konfiguracijskoj datoteci krajnje točke dobivenoj omogućavanjem, indikator domene definira naziv domene za otkrivanje pristupne rubne usluge. Primjer naziva domene je:
wxc.edge.bcld.webex.com
Iz tog primjera, krajnja točka koja izvodi DNS SRV traženje za ovu domenu može ponuditi odgovor poput sljedećega:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
U tom slučaju, SRV zapis upućuje na 3 A zapise.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
U primjeru su sva glavna računala oglašena za kontaktni ulaz 5061 s različitim ponderom i prioritetom.
Razmotrite ove zahtjeve za krajnje točke.
-
Krajnja točka mora koristiti
_sips._tcp
(kombinaciju usluge i protokola) kao prefiks za provođenje DNS SRV pretraživanja radi dobivanja adrese glavnog računala za pokretanje komunikacije temeljene na TLS-u. -
Krajnja točka mora izvršiti DNS SRV pretragu za uvjete objašnjene u odjeljku Razrješavanje adrese glavnog računala iz adrese DNS SRV-a.
-
Krajnja točka mora poštovati glavno računalo, ulaz, ponder i prioritet, kao što je oglašeno za svaku adresu glavnog računala. Osim toga, pri stvaranju socket protokola tijekom SIP registracije mora stvoriti priključak glavnog računala prema ulazu.
-
Specifično za upotrebu DNS SRV zapisa, kriteriji odabira glavnih računala temeljem prioriteta i pondera objašnjeni su pod RFC 2782.
Zahtjevi za SIP i medije
Uvjet |
Opis |
---|---|
Za šifriranje javnog ključa potreban je certifikat vjerodajnica |
Provjerite članak kako biste saznali više o ovlaštenom tijelu za potpisivanje Webex certifikata i korijenskom CA koji je potreban na uređajima |
Podržana TLS verzija za sigurni SIP |
TLS 1.2 |
Podržane TLS šifre za sigurni SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
SRTP ključevi podržani za sigurne medije |
AES_CM_128_HMAC_SHA1_80 |
Zahtjevi za sigurni SIP s mTLS-om (uzajamni TLS)
Zahtjevi su detaljno objašnjeni ovdje.
Za uspješnu autorizaciju i provjeru autentičnosti poziva iz grupiranja potreban je potpisani certifikat. Certifikat mora ispunjavati sljedeće zahtjeve:
-
Certifikat mora biti potpisan od strane CA koji je naveden u odjeljku Koja su ovlaštena tijela za izdavanje korijenskog certifikata podržana za pozive na Cisco Webex zvučne i video platforme?
-
Prenesite paket pouzdanosti koji je naveden u odjeljku Koja su ovlaštena tijela za izdavanje korijenskog certifikata podržana za pozive na Cisco Webex zvučne i video platforme? u CUBE.
-
Certifikat uvijek mora biti valjan:
-
Potpisani certifikati uvijek moraju imati valjani rok trajanja.
-
Korijenski ili srednji certifikati moraju imati valjani rok trajanja i ne smijete ih opozvati.
-
Certifikati moraju biti potpisani za upotrebu od strane klijenta i poslužitelja.
-
Certifikati moraju sadržavati potpuno kvalificirani naziv domene (FQDN) kao uobičajeno ime ili zamjensko ime subjekta u certifikatu s FQDN-om odabranim u okruženju Control Hub. Na primjer:
-
Grupiranje konfigurirano u okruženju Control Hub vaše organizacije uz london.lgw.cisco.com:5061 kao FQDN-om mora sadržavati london.lgw.cisco.com u CN-u ili SAN-u certifikata.
-
Grupiranje konfigurirano iz okruženja Control Hub vaše organizacije uz london.lgw.cisco.com kao SRV mora sadržavati london.lgw.cisco.com u CN-u ili SAN-u certifikata. Zapisi na koje se SRV adresa razrješava (CNAME/A zapis/ IP adresa) nisu obavezni u SAN-u.
-
-
Certifikate možete dijeliti s većim brojem lokalnih pristupnika, međutim, provjerite jesu li zahtjevi FQDN-a zadovoljeni.
-
Izvan djelokruga
Ovaj članak ne uključuje sljedeće informacije vezane za mrežnu sigurnost:
-
F5 zahtjevi za CA i šifre
-
API koji se temelji na HTTP-u za preuzimanje pravila vatrozida za Webex.
-
API za paket pouzdanosti
-
Zahtjevi po pitanju vatrozida i onemogućavanja ALG-a