Ovaj se dokument prvenstveno fokusira na mrežne i sigurnosne zahtjeve za rješenje Dedicated Instance, uključujući slojeviti pristup značajkama i funkcionalnosti koje pružaju siguran fizički pristup, sigurnu mrežu, sigurne krajnje točke i sigurne Cisco UC aplikacije.
Mrežni zahtjevi za namjensku instancu
Webex Calling Dedicated Instance dio je portfelja Cisco oblak Calling, kojeg pokreće tehnologija suradnje Cisco Unified Communications Manager (Cisco Unified CM). Namjenska instanca nudi rješenja za glas, video, razmjenu poruka i mobilnost sa značajkama i prednostima Cisco IP telefona, mobilnih uređaja i desktop klijenata koji se sigurno povezuju s namjenskom instancom.
Ovaj je članak namijenjen mrežnim administratorima, posebno administratorima vatrozida i sigurnosti proxyja koji žele koristiti namjensku instancu unutar svoje organizacije.
Sigurnosni pregled: Sigurnost u slojevima
Namjenski primjerak koristi slojeviti pristup za sigurnost. Slojevi uključuju:
Fizički pristup
Mreža
Krajnje točke
UC aplikacije
Sljedeći odjeljci opisuju slojeve sigurnosti Namjenski primjerak raspoređivanja.
Fizička sigurnost
Važno je osigurati fizičku sigurnost lokacijama Equinix Meet-Me Room i Cisco Namjenski primjerak Objekti podatkovnog centra. Kada je fizička sigurnost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem struje na prekidačima korisnika. Uz fizički pristup, napadači bi mogli dobiti pristup poslužiteljskim uređajima, poništiti lozinke i dobiti pristup prekidačima. Fizički pristup također olakšava sofisticiranije napade kao što su napadi čovjeka u sredini, zbog čega je drugi sigurnosni sloj, mrežna sigurnost, kritičan.
Samošifrirajući pogoni se koriste u Namjenski primjerak Podatkovni centri koji hostiraju UC aplikacije.
Za više informacija o općim sigurnosnim praksama pogledajte dokumentaciju na sljedećem mjestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Mrežna sigurnost
Partneri moraju osigurati da su svi elementi mreže osigurani Namjenski primjerak infrastrukture (koja se povezuje preko Equinixa). Odgovornost partnera je osigurati najbolje prakse kao što su:
Odvojeni VLAN za glas i podatke
Omogućite sigurnost porta koja ograničava broj dopuštenih MAC adresa po portu, protiv poplave CAM tablice
Zaštita IP izvora od lažnih IP adresa
Dinamička ARP inspekcija (DAI) ispituje protokol razlučivanja adresa (ARP) i besplatni ARP (GARP) na kršenja (protiv lažiranja ARP-a)
802.1x ograničava pristup mreži za provjeru autentičnosti uređaja na dodijeljenim VLAN-ovima (telefoni podržavaju 802.1x )
Konfiguracija kvalitete usluge (QoS) za odgovarajuće označavanje glasovnih paketa
Konfiguracije portova vatrozida za blokiranje bilo kojeg drugog prometa
Sigurnost krajnjih točaka
Cisco krajnje točke podržavaju zadane sigurnosne značajke kao što su potpisani firmver, sigurno pokretanje (odabrani modeli), proizvođač instaliran certifikat (MIC) i potpisane konfiguracijske datoteke, koje pružaju određenu razinu sigurnosti za krajnje točke.
Osim toga, partner ili kupac može omogućiti dodatnu sigurnost, kao što su:
Šifrirajte usluge IP telefon (putem HTTPS-a) za usluge poput Extension Mobility
Izdavanje lokalno značajnih certifikata (LSC) iz funkcija proxyja za provjeru autentičnosti certifikata za izdavanje certifikata (CAPF) ili javnog certifikacijskog tijela (CA)
Šifrirajte konfiguracijske datoteke
Šifriranje medija i signalizacije
Onemogućite ove postavke ako se ne koriste: PC port, PC Voice VLAN pristup, besplatni ARP, pristup Web , gumb postavki, SSH, konzola
Implementacija sigurnosnih mehanizama u Namjenski primjerak sprječava krađu identiteta telefona i poslužitelj za Unified CM, neovlašteno mijenjanje podataka i signaliziranje poziva/medijskog toka.
Namjenski primjerak preko mreže:
Uspostavlja i održava provjerene komunikacijske tokove
Digitalno potpisuje datoteke prije prijenosa datoteke na telefon
Šifrira medijske tokove i signalizaciju poziva između Cisco Unified IP telefona
Sigurnost prema zadanim postavkama pruža sljedeće automatske sigurnosne značajke za Cisco Unified IP telefone:
Potpisivanje konfiguracijskih datoteka telefona
Podrška za enkripciju konfiguracijska datoteka telefona
HTTPS s Tomcatom i drugim Web uslugama (MIDleti)
Za Unified CM izdanje 8.0 kasnije, ove sigurnosne značajke su osigurane prema zadanim postavkama bez pokretanja klijenta Popis pouzdanosti certifikata (CTL).
Budući da postoji veliki broj telefona u mreži, a IP telefoni imaju ograničenu memoriju, Cisco Unified CM djeluje kao udaljeno skladište povjerenja putem usluge provjere povjerenja (TVS) tako da se pohrana povjerenja certifikata ne mora postavljati na svaki telefon. Cisco IP telefoni kontaktiraju TVS poslužitelj radi provjere jer ne mogu provjeriti potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati središnjom pohranom povjerenja nego posjedovanjem spremišta povjerenja na svakom Cisco Unified IP telefon.
TVS omogućuje Cisco Unified IP telefonima provjeru autentičnosti poslužitelja aplikacija, kao što su EM usluge, imenik i MIDlet, tijekom uspostavljanja HTTPS-a.
Datoteka Initial Trust List (ITL) koristi se za početnu sigurnost, tako da krajnje točke mogu vjerovati Cisco Unified CM u. ITL ne treba nikakve sigurnosne značajke da bi bile eksplicitno omogućene. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ poslužitelja Unified CM Trivial File Transfer Protocol (TFTP) koristi se za potpisivanje ITL datoteke.
Kada je Cisco Unified CM klaster ili poslužitelj u nezaštićenom sigurni način rada, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može vidjeti sadržaj ITL datoteke pomoću CLI naredba, admin:show itl.
Cisco IP telefoni trebaju ITL datoteku za obavljanje sljedećih zadataka:
Sigurno komunicirajte s CAPF-om, što je preduvjet za podršku enkripcije konfiguracijska datoteka
Ovjerite potpis konfiguracijska datoteka
Provjera autentičnosti poslužitelja aplikacija, kao što su EM usluge, imenik i MIDlet tijekom uspostavljanja HTTPS-a pomoću TVS -a
Provjera autentičnosti uređaja, datoteke i signalizacije oslanjaju se na kreiranje datoteke Popis pouzdanosti certifikata (CTL), koja se stvara kada partner ili korisnik instalira i konfigurira klijenta Cisco Certificate Trust List Client.
CTL datoteka sadrži unose za sljedeće poslužitelje ili sigurnosne tokene:
Sigurnosni token administratora sustava (SAST)
Cisco CallManager i Cisco TFTP usluge koje se izvode na istom poslužitelju
Funkcija proxy izdavač certifikata (CAPF)
TFTP poslužitelj(i)
ASA vatrozid
CTL datoteka sadrži certifikat poslužitelja, javni ključ, serijski broj, potpis, ime izdavatelja, naziv subjekta, funkciju poslužitelja, DNS naziv i IP adresa za svaki poslužitelj.
Sigurnost telefona s CTL -om pruža sljedeće funkcije:
Provjera autentičnosti datoteka preuzetih TFTP -om (konfiguracija, lokacija, popis zvona i tako dalje) pomoću ključa za potpisivanje
Šifriranje TFTP konfiguracijskih datoteka pomoću ključa za potpisivanje
Šifrirana signalizacija poziva za IP telefone
Šifrirani zvuk poziva (mediji) za IP telefone
Namjenski primjerak pruža registraciju krajnje točke i obrada poziva. Signalizacija između Cisco Unified CM -a i krajnjih točaka temelji se na Secure Skinny Client Control Protocol (SCCP) ili Protokol za pokretanje sesije (SIP) i može se šifrirati korištenjem Transport Layer Security (TLS). Mediji od/do krajnjih točaka temelje se na protokolu za prijenos u stvarnom vremenu (RTP) i također se mogu šifrirati pomoću Secure RTP (SRTP).
Omogućavanje mješovitog načina rada na Unified CM -u omogućuje šifriranje signalnog i promet medija od i do krajnjih točaka Cisco .
Sigurne UC aplikacije
Mješoviti način rada zadano omogućeno u Namjenski primjerak .
Omogućavanje mješovitog načina rada u Namjenski primjerak omogućuje mogućnost izvođenja šifriranja signalnog i promet medija od i do krajnjih točaka Cisco .
U Cisco Unified CM izdanju 12.5(1), za Jabber i Webex klijente dodana je nova opcija za omogućavanje šifriranja signalizacije i medija na temelju SIP OAuth umjesto mješovitog načina rada / CTL . Stoga se u Unified CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje enkripcije za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mješovitog načina rada i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje točke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u krajnje točke 7800/8800 u budućem izdanju.
Cisco Unity Connection povezuje se s Unified CM preko TLS porta. Kada sigurnosni način uređaja nije siguran, Cisco Unity Connection povezuje se s Unified CM preko SCCP porta.
Za konfiguriranje sigurnosti za Unified CM portove za glasovne poruke i Cisco Unity uređaje koji pokreću SCCP ili Cisco Unity Connection uređaje koji pokreću SCCP, partner može odabrati način sigurnosti sigurnog uređaja za port. Ako odaberete provjereni ulaz za glasovnu poštu, otvara se TLS veza, koja provjerava autentičnost uređaja korištenjem međusobne razmjene certifikata (svaki uređaj prihvaća certifikat drugog uređaja). Ako odaberete šifrirani ulaz za glasovnu poštu, sustav prvo provjerava autentičnost uređaja, a zatim šalje šifrirane glasovne tokove između uređaja.
Za više informacija o portovima za sigurnosne glasovne poruke, pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sigurnost za SRST, Trunkove, Gatewaye, CUBE/SBC
Gateway s omogućenom Cisco Unified Survivable Remote Site Telephony (SRST) pruža ograničene zadatke obrade poziva ako je Cisco Unified CM uključen Namjenski primjerak ne može dovršiti poziv.
Sigurni pristupnici s omogućenim SRST-om sadrže certifikat sa samopotpisivanjem. Nakon što partner izvrši zadatke konfiguracije SRST -a u Administracija za Unified CM, Unified CM koristi TLS vezu za provjeru autentičnosti s uslugom davatelja certifikata na Pristupnik s omogućenim SRST-om. Unified CM zatim dohvaća certifikat s Pristupnik s omogućenim SRST-om i dodaje certifikat u Unified CM bazu podataka.
Nakon što partner resetira ovisne uređaje u Administracija za Unified CM, TFTP poslužitelj dodaje Pristupnik s omogućenim SRST-om certifikat datoteci cnf.xml telefona i šalje datoteku na telefon. Siguran telefon zatim koristi TLS vezu za interakciju s pristupnikom koji ima Pristupnik s omogućenim SRST-om.
Preporuča se imati sigurne trankove za pozive koji potječu od Cisco Unified CM do pristupnika za odlazne PSTN pozive ili prolaz kroz Cisco Unified Border Element (CUBE).
SIP trankovi mogu podržavati sigurne pozive i za signalizaciju i za medije; TLS osigurava šifriranje signala, a SRTP osigurava enkripciju medija.
Osiguravanje komunikacije između Cisco Unified CM -a i CUBE-a
Za sigurnu komunikaciju između Cisco Unified CM -a i CUBE-a, partneri/kupci moraju koristiti ili certifikat sa samopotpisivanjem ili certifikate s potpisom CA.
Za samopotpisane certifikate:
CUBE i Cisco Unified CM generiraju samopotpisane certifikate
CUBE izvozi certifikat u Cisco Unified CM
Cisco Unified CM izvozi certifikat u CUBE
Za CA-potpisane certifikate:
Klijent generira par ključeva i šalje zahtjev za potpisivanje certifikata (CSR) izdavač certifikata (CA)
CA ga potpisuje svojim privatnim ključem, stvarajući certifikat identiteta
Klijent instalira popis pouzdanih CA korijenskih i posredničkih certifikata i certifikat identiteta
Sigurnost za udaljene krajnje točke
S krajnjim točkama za mobilni i udaljeni pristup (MRA), signalizacija i mediji uvijek su šifrirani između krajnjih točaka MRA i čvorova brze ceste. Ako se za MRA krajnje točke koristi protokol Interactive Connectivity Establishment (ICE), potrebna je signalizacija i šifriranje medija krajnjih točaka MRA. Međutim, šifriranje signalizacije i medija između Expressway-C i internih Unified CM poslužitelja, internih krajnjih točaka ili drugih internih uređaja zahtijeva mješoviti način rada ili SIP OAuth.
Cisco Expressway pruža siguran prelazak vatrozidom i podršku na liniji za Unified CM registracije. Unified CM pruža kontrolu poziva za mobilne i lokalne krajnje točke. Signalizacija prolazi kroz rješenje brze ceste između udaljene krajnje točke i Unified CM a. Mediji prolaze kroz rješenje Expresswaya i izravno se prenose između krajnjih točaka. Svi mediji su šifrirani između Expressway-C i mobilne krajnje točke.
Svako MRA rješenje zahtijeva brzu cestu i Unified CM, s MRA kompatibilnim mekim klijentima i/ili fiksnim krajnjim točkama. Rješenje može opcionalno uključivati IM i uslugu prisutnosti i Unity Connection.
Sažetak protokola
Sljedeća tablica prikazuje protokole i povezane usluge korištene u Unified CM rješenju.
Protokol |
Sigurnost |
Usluga |
---|---|---|
SIP |
TLS |
Uspostavljanje sjednice: Registrirajte se, pozovite itd. |
HTTPS |
TLS |
Prijava, priprema/konfiguracija, imenik, vizualna govorna pošta |
Mediji |
SRTP |
mediji: Audio, video, dijeljenje sadržaja |
XMPP |
TLS |
Razmjena trenutnih Poruke, prisutnost, Federacija |
Za više informacija o MRA konfiguraciji pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Mogućnosti konfiguracije
The Namjenski primjerak pruža Partneru fleksibilnost prilagodbe usluga za krajnje korisnike kroz potpunu kontrolu konfiguracija dva dana. Kao rezultat toga, Partner je isključivo odgovoran za ispravnu konfiguraciju Namjenski primjerak usluga za okruženje krajnjeg korisnika. To uključuje, ali nije ograničeno na:
Odabir sigurnih/nesigurnih poziva, sigurnih/nesigurnih protokola kao što su SIP/sSIP, http/https itd. i razumijevanje svih povezanih rizika.
Za sve MAC adrese koje nisu konfigurirane kao sigurne- SIP in Namjenski primjerak , napadač može poslati poruku SIP Register koristeći tu MAC adresa i biti u mogućnosti upućivati SIP pozive, što rezultira prijevarom naplate cestarine. Preduvjet je da napadač može registrirati svoj SIP uređaj/softver na Namjenski primjerak neovlašteno ako znaju MAC adresa uređaja na kojem je registriran Namjenski primjerak .
Politika poziva Expressway-E, pravila transformacije i pretraživanja trebaju biti konfigurirana kako bi se spriječile prijevare s cestarinama. Za više informacija o sprječavanju prijevare naplate cestarine korištenjem brzih cesta pogledajte Sigurnost za brzu cestu C i brzu cestu-E odjeljak Suradnja SRND .
Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu birati samo odredišta koja su dopuštena, npr. zabraniti nacionalno/međunarodno biranje, hitni pozivi se pravilno usmjeravaju itd. Za više informacija o primjeni ograničenja korištenjem plana biranja pogledajte Plan biranja sekcija Suradnje SRND.
Zahtjevi certifikata za sigurne veze u namjenskom primjerku
Za namjenski primjerak, Cisco će osigurati domenu i potpisati sve certifikate za UC aplikacije koristeći javno izdavač certifikata (CA).
Namjenski primjerak – brojevi portova i protokoli
Sljedeće tablice opisuju portove i protokole koji su podržani u Namjenskoj instanci. Portovi koji se koriste za određenog korisnika ovise o korisnikovoj implementaciji i rješenju. Protokoli ovise o preferencijama korisnika (SCCP vs SIP), postojećim lokalnim uređajima i razini sigurnosti za određivanje koji će se portovi koristiti u svakoj implementaciji.
Namjenska instanca ne dopušta prevođenje mrežnih adresa (NAT) između krajnjih točaka i Unified CM a jer neke od značajki tijeka poziva neće raditi, na primjer značajka usred poziva. |
Namjenski primjerak – Priključci korisnika
Portovi dostupni korisnicima - između lokalnog korisnika i namjenske instance prikazani su u tablici 1. Priključci za namjenske instance . Svi dolje navedeni priključci služe za promet korisnika koji prolazi kroz peering veze.
SNMP port je podržan samo za CER funkcionalnost, a ne za bilo koje druge alate za nadzor treće strane. |
Cisco je rezervirao portove u rasponu od 5063 do 5080 za druge integracije u oblaku, preporuča se administratorima partnera ili korisnika da ne koriste te portove u svojim konfiguracijama. |
Protokol |
TCP/UDP |
Izvor |
Odredište |
Ulaz izvora |
Ulaz odredišta |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UC aplikacije |
Više od 1023 |
22 |
Administracija |
TFTP |
UDP |
Krajnja točka |
Unified CM |
Više od 1023 |
69 |
Podrška za naslijeđenu krajnju točku |
LDAP |
TCP |
UC aplikacije |
Vanjski imenik |
Više od 1023 |
389 |
Sinkronizacija imenika s LDAP -om korisnika |
HTTPS |
TCP |
Preglednik |
UC aplikacije |
Više od 1023 |
443 |
Web pristup za samopomoć i administrativna sučelja |
Odlazna pošta (SIGURNA) |
TCP |
UC aplikacija |
CUCxn |
Više od 1023 |
587 |
Koristi se za sastavljanje i slanje sigurnih poruka svim određenim primateljima |
LDAP (SIGURAN) |
TCP |
UC aplikacije |
Vanjski imenik |
Više od 1023 |
636 |
Sinkronizacija imenika s LDAP -om korisnika |
H323 |
TCP |
Gateway |
Unified CM |
Više od 1023 |
1720. godine |
Signalizacija poziva |
H323 |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
1720. godine |
Signalizacija poziva |
SCCP |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Više od 1023 |
2000 |
Signalizacija poziva |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Više od 1023 |
2000 |
Signalizacija poziva |
MGCP |
UDP |
Gateway |
Gateway |
Više od 1023 |
2427 |
Signalizacija poziva |
MGCP Blackhaul |
TCP |
Gateway |
Unified CM |
Više od 1023 |
2428 |
Signalizacija poziva |
SCCP (SIGURAN) |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Više od 1023 |
2443 |
Signalizacija poziva |
SCCP (SIGURAN) |
TCP |
Unified CM |
Unified CM, Gateway |
Više od 1023 |
2443 |
Signalizacija poziva |
Provjera povjerenja |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
2445 |
Pružanje usluge provjere povjerenja krajnjim točkama |
CTI |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
2748 |
Veza između CTI aplikacija (JTAPI/TSP) i CTIManagera |
Siguran CTI |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
2749 |
Sigurna veza između CTI aplikacija (JTAPI/TSP) i CTIManagera |
LDAP globalni katalog |
TCP |
UC aplikacije |
Vanjski imenik |
Više od 1023 |
3268 |
Sinkronizacija imenika s LDAP -om korisnika |
LDAP globalni katalog |
TCP |
UC aplikacije |
Vanjski imenik |
Više od 1023 |
3269 |
Sinkronizacija imenika s LDAP -om korisnika |
CAPF servis |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
3804 |
Priključak za prisluškivanje funkcije proxy ovlaštenja za izdavanje izdavač certifikata (CAPF) za izdavanje lokalno značajnih certifikata (LSC) na IP telefone |
SIP |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Više od 1023 |
5060 |
Signalizacija poziva |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Više od 1023 |
5060 |
Signalizacija poziva |
SIP (SIGURAN) |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
5061 |
Signalizacija poziva |
SIP (SIGURAN) |
TCP |
Unified CM |
Unified CM, Gateway |
Više od 1023 |
5061 |
Signalizacija poziva |
SIP (OAUTH) |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
5090 |
Signalizacija poziva |
XMPP |
TCP |
Jabber klijent |
Cisco IM&P |
Više od 1023 |
5222 |
Trenutne Poruke i prisutnost |
HTTP |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
6970 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTPS |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
6971 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTPS |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
6972 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7080 |
Obavijesti govorne pošte |
HTTPS |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7443 |
Sigurne obavijesti govorne pošte |
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7501 |
Koristi ga ILS (Intercluster Lookup Service) (ILS) za provjeru autentičnosti temeljenu na certifikatu |
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7502 |
Koristi ga ILS za autentifikaciju temeljenu na lozinki |
IMAP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7993 |
IMAP preko TLS -a |
HTTP |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
8080 |
URI direktorija za podršku za naslijeđenu krajnju točku |
HTTPS |
TCP |
Preglednik, krajnja točka |
UC aplikacije |
Više od 1023 |
8443 |
Web pristup za samoposlužna i administrativna sučelja, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Više od 1023 |
9443 |
Pretraživanje autentificiranog kontakta |
HTTPs |
TCP |
Krajnja točka |
Unified CM |
Više od 1023 |
9444 |
Značajka upravljanja slušalicama |
Sigurno RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - glazba na čekanju, najavljivač, softverski konferencijski most (otvoren na temelju signalizacije poziva) |
Sigurno RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - glazba na čekanju, najavljivač, softverski konferencijski most (otvoren na temelju signalizacije poziva) |
KOBRE |
TCP |
Klijent |
CUCxn |
Više od 1023 |
20532 |
Paket aplikacija za sigurnosno kopiranje i vraćanje |
ICMP |
ICMP |
Krajnja točka |
UC aplikacije |
n.d. |
n.d. |
Ping |
ICMP |
ICMP |
UC aplikacije |
Krajnja točka |
n.d. |
n.d. |
Ping |
* Određeni posebni slučajevi mogu koristiti veći raspon. |
Namjenski primjerak – OTT portovi
Korisnici i partneri za postavljanje mobilnog i udaljenog pristupa (MRA) mogu koristiti sljedeći priključak:
Protokol |
TCP/UCP |
Izvor |
Odredište |
Ulaz izvora |
Ulaz odredišta |
Svrha |
---|---|---|---|---|---|---|
SIGURNI RTP/ RTCP |
UDP |
Autocesta C |
Klijent |
Više od 1023 |
36000-59999 |
Sigurni mediji za MRA i B2B pozive |
Namjenski primjerak – UCCX portovi
Sljedeći popis portova mogu koristiti kupci i partneri za konfiguriranje UCCX-a.
Protokol |
TCP / UCP |
Izvor |
Odredište |
Ulaz izvora |
Ulaz odredišta |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UCCX |
Više od 1023 |
22 |
SFTP i SSH |
Informix |
TCP |
Klijent ili poslužitelj |
UCCX |
Više od 1023 |
1504 |
Unified CCX baze podataka |
SIP |
UDP i TCP |
SIP GW ili MCRP poslužitelj |
UCCX |
Više od 1023 |
5065 |
Komunikacija s udaljenim GW i MCRP čvorovima |
XMPP |
TCP |
Klijent |
UCCX |
Više od 1023 |
5223 |
Sigurna XMPP veza između Finesse poslužitelja i prilagođenih aplikacija trećih strana |
KVB |
TCP |
Klijent |
UCCX |
Više od 1023 |
6999 |
Urednik za CCX aplikacije |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
7443 |
Sigurna BOSH veza između poslužitelja Finesse i računala agenta i nadzornika za komunikaciju putem HTTPS-a |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8080 |
Klijenti za izvještavanje o podacima uživo povezuju se na socket.IO poslužitelj |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8081 |
Klijentski preglednik pokušava pristupiti web-sučelje Cisco Unified Intelligence Center |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8443 |
Admin grafičko korisničko sučelje, RTCP, DB pristup putem SOAP -a |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8444 |
web-sučelje Cisco Unified Intelligence Center |
HTTPS |
TCP |
Preglednik i REST klijenti |
UCCX |
Više od 1023 |
8445 |
Sigurni priključak za Finesse |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8447 |
HTTPS - online pomoć za Unified Intelligence Center |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8553 |
Komponente jedinstvene prijave (SSO) pristupaju ovom sučelju kako bi saznale radni status Cisco IDS-a. |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
9080 |
Klijenti koji pokušavaju pristupiti HTTP okidačima ili dokumentima / upitima / gramatikama / podaci uživo. |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
9443 |
Sigurni priključak koji se koristi za odgovaranje na klijente koji pokušavaju pristupiti HTTPS okidačima |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12014 |
Ovo je port na kojem se klijenti za izvješćivanje o podacima uživo mogu spojiti na socket.IO poslužitelj |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12015 |
Ovo je port na kojem se klijenti za izvješćivanje o podacima uživo mogu spojiti na socket.IO poslužitelj |
CTI |
TCP |
Klijent |
UCCX |
Više od 1023 |
12028 |
CTI klijent treće strane za CCX |
RTP(mediji) |
TCP |
Krajnja točka |
UCCX |
Više od 1023 |
Više od 1023 |
Medijski priključak se otvara dinamički prema potrebi |
RTP(mediji) |
TCP |
Klijent |
Krajnja točka |
Više od 1023 |
Više od 1023 |
Medijski priključak se otvara dinamički prema potrebi |
Sigurnost klijenta
Osiguravanje Jabbera i Webex sa SIP OAuthom
Jabber i Webex klijenti provjeravaju autentičnost putem OAuth tokena umjesto lokalno bitan certifikat (LSC), koji ne zahtijeva omogućavanje funkcija proxyja za provjeru autentičnosti certifikata (CAPF) (također za MRA). SIP OAuth koji radi sa ili bez miješanog načina rada uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
U Cisco Unified CM 12.5 imamo novu opciju u Profilu sigurnosti telefona koja omogućuje enkripciju bez LSC/ CAPF-a, koristeći jedan Transport Layer Security (TLS) + OAuth token u SIP REGISTER. Čvorovi Expressway-C koriste API Administrative XML Web Service (AXL ) za informiranje Cisco Unified CM -a o SN/SAN-u u svom certifikatu. Cisco Unified CM koristi ove informacije za provjeru valjanosti Exp-C certifikata prilikom uspostavljanja međusobne TLS veze.
SIP OAuth omogućuje šifriranje medija i signalizacije bez certifikata krajnje točke (LSC).
Cisco Jabber koristi efemerne portove i sigurne portove 6971 i 6972 portove putem HTTPS veze na TFTP poslužitelj za preuzimanje konfiguracijskih datoteka. Port 6970 nije siguran port za preuzimanje putem HTTP-a.
Više pojedinosti o SIP OAuth konfiguraciji: SIP OAuth način rada .
Zahtjevi za DNS
Za namjensku instancu Cisco pruža FQDN za uslugu u svakoj regiji u sljedećem formatu<customer> .<region> .wxc-di.webex.com na primjer, xyz.amer.wxc-di.webex.com .
Vrijednost "korisnika" daje administrator kao dio Čarobnjak za prvo postavljanje (FTSW). Za više informacija pogledajte Aktivacija usluge namjenske instance .
DNS zapisi za ovaj FQDN moraju biti razrješivi s klijentovog internog poslužitelj za DNS kako bi se podržali lokalni uređaji koji se povezuju s namjenskom instancom. Da bi se olakšalo rješavanje, korisnik mora konfigurirati Uvjetni prosljeđivač, za ovaj FQDN, na svom poslužitelj za DNS koji ukazuje na DNS uslugu Namjenske instance. DNS usluga namjenske instance je regionalna i do nje se može doći putem peeringa do namjenske instance, koristeći sljedeće IP adrese kao što je navedeno u donjoj tablici IP adresa DNS usluge namjenske instance .
Regija/DC |
IP adresa DNS usluge namjenske instance | Primjer uvjetnog prosljeđivanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
GRIJEH |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Opcija ping je onemogućena za gore navedene IP adrese poslužitelj za DNS iz sigurnosnih razloga. |
Dok se uvjetno prosljeđivanje ne uspostavi, uređaji se neće moći registrirati na Namjensku instancu iz interne mreže korisnika putem poveznica za peering. Uvjetno prosljeđivanje nije potrebno za registraciju putem mobilnog i udaljenog pristupa (MRA), budući da će Cisco unaprijed osigurati sve potrebne vanjske DNS zapise za olakšavanje MRA.
Kada koristite Webex aplikaciju kao svoj meki klijent za pozivanje na namjenskom primjerku, profil UC Managera treba biti konfiguriran u Control Hubu za domenu glasovne usluge (VSD) svake regije. Za više informacija pogledajte Profili UC Managera u Cisco Webex Control Hub . Webex aplikacija moći će automatski riješiti klijentov Expressway Edge bez intervencije krajnji korisnik .
Domena glasovne usluge bit će dostavljena korisniku kao dio dokumenta za pristup partneru nakon dovršetka aktivacije usluge. |
Reference
Cisco Collaboration 12.x Referentni mrežni dizajni rješenja (SRND), Sigurnosna tema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Vodič za sigurnost za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html