Mrežni zahtjevi za namjensku instancu
Webex Calling Dedicated Instance dio je Cisco Cloud Calling portfelja, a pokreće ga Cisco Unified Communications Manager (Cisco Unified CM) tehnologija suradnje. Dedicated Instance nudi rješenja za glasovne, video, poruke i mobilnost sa značajkama i prednostima Cisco IP telefona, mobilnih uređaja i stolnih klijenata koji se sigurno spajaju na Dedicated Instance.
Ovaj članak je namijenjen mrežnim administratorima, posebno administratorima zaštite vatrozida i proxy sigurnosti koji žele koristiti namjensku instancu unutar svoje organizacije. Ovaj se dokument prvenstveno fokusira na mrežne zahtjeve i sigurnost za rješenje namjenske instance, uključujući slojevit pristup značajkama i funkcionalnostima koje pružaju siguran fizički pristup, sigurnu mrežu, sigurne krajnje točke i sigurne Cisco UC aplikacije.
Sigurnosni pregled: Sigurnost u slojevima
Posvećena instanca koristi slojevit pristup za sigurnost. Slojevi uključuju:
Fizički pristup
Mreža
Krajnje točke
UC aplikacije
U sljedećim odjeljcima opisani su slojevi sigurnosti u namjenskim primjerima.
Fizička sigurnost
Važno je osigurati fizičku sigurnost za Equinix Meet-Me Room lokacije i Cisco Dedicated Instance Data Center objekata. Kada je fizička sigurnost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekid usluge isključivanjem napajanja korisničkih prekidača. Uz fizički pristup, napadači bi mogli dobiti pristup poslužiteljskim uređajima, resetirati lozinke i dobiti pristup prekidačima. Fizički pristup također olakšava sofisticiranije napade kao što su napadi "čovjek u sredini", zbog čega je drugi sigurnosni sloj, sigurnost mreže, kritičan.
Samo-šifrirajući pogoni koriste se u namjenskim instančnim podatkovnim centrima koji su domaćini UC aplikacija.
Za više informacija o općim sigurnosnim praksama pogledajte dokumentaciju na sljedećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Mrežna sigurnost
Partneri moraju osigurati da su svi mrežni elementi osigurani u infrastrukturi namjenske instance (koja se povezuje putem Equinixa). Odgovornost je partnera da osigura najbolje sigurnosne prakse kao što su:
Odvojeni VLAN za glas i podatke
Omogući sigurnost portova koja ograničava broj dozvoljenih MAC adresa po portu, protiv poplave kamernog stola
Zaštita IP izvora od lažnih IP adresa
Dynamic ARP Inspection (DAI) ispituje protokol za rješavanje adresa (ARP) i besplatni ARP (GARP) za prekršaje (protiv varanja ARP-a)
802.1x ograničava pristup mreži za provjeru autentičnosti uređaja na dodijeljenim VLAN-ovima (telefoni podržavaju 802.1x)
Konfiguracija kvalitete usluge (QoS) za odgovarajuće označavanje glasovnih paketa
Konfiguracije vatrozidnih portova za blokiranje bilo kojeg drugog prometa
Sigurnost krajnjih točaka
Cisco krajnje točke podržavaju zadane sigurnosne značajke kao što su potpisani firmware, sigurno podizanje (odabrani modeli), proizvođački instalirani certifikat (MIC) i potpisane konfiguracijske datoteke, koje pružaju određenu razinu sigurnosti za krajnje točke.
Osim toga, partner ili kupac mogu omogućiti dodatnu sigurnost, kao što su:
Šifriranje usluga IP telefona (putem HTTPS-a) za usluge kao što je proširenje mobilnosti
Izdavanje lokalno značajnih certifikata (LSC) od opunomoćeničke funkcije (CAPF) ili tijela za izdavanje javnih certifikata (CA)
Šifriraj konfiguracijske datoteke
Šifriranje medija i signalizacija
Onemogućite ove postavke ako se ne koriste: PC port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Tipka za podešavanje, SSH, konzola
Implementacijom sigurnosnih mehanizama u namjenskoj instanci sprječava se krađa identiteta telefona i Unified CM poslužitelja, neovlašteno mijenjanje podataka i neovlašteno obavljanje poziva/medija.
Namjenska instanca preko mreže:
Uspostavlja i održava autentične komunikacijske tokove
Digitalno potpisuje datoteke prije prijenosa datoteke na telefon
Šifrira medijske tokove i signale poziva između Cisco Unified IP telefona
Sigurnost prema zadanim postavkama pruža sljedeće automatske sigurnosne značajke za Cisco Unified IP telefone:
Potpisivanje konfiguracijskih datoteka telefona
Podrška za šifriranje konfiguracijskih datoteka telefona
HTTPS s Tomcat i drugim web uslugama (MIDlets)
Za Unified CM Release 8.0 kasnije, ove sigurnosne značajke se pružaju prema zadanim postavkama bez pokretanja Certifikata Trust List (CTL) klijenta.
Budući da postoji velik broj telefona u mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM djeluje kao udaljena trgovina povjerenja putem usluge provjere povjerenja (TVS) tako da se trgovina povjerenja certifikata ne mora nalaziti na svakom telefonu. Cisco IP telefoni kontaktiraju poslužitelj TELEVIZORA za provjeru jer ne mogu potvrditi potpis ili certifikat putem CTL ili ITL datoteka. Lakše je upravljati središnjom prodavaonicom povjerenja nego imati prodavaonicu povjerenja na svakom Cisco Unified IP telefonu.
TELEVIZORI omogućuju Cisco Unified IP telefonima autentifikaciju aplikacijskih poslužitelja, kao što su EM usluge, direktorij i MIDlet, tijekom HTTPS uspostave.
Datoteka Inicijalna lista povjerenja (ITL) koristi se za inicijalnu sigurnost, tako da krajnje točke mogu vjerovati Cisco Unified CM. ITL-u nisu potrebne nikakve sigurnosne značajke da bi bio izričito omogućen. ITL datoteka se automatski stvara kada je klaster instaliran. Za potpisivanje ITL datoteke koristi se privatni ključ poslužitelja Unified CM Trivial File Transfer Protocol (TFTP).
Kada je Cisco Unified CM klaster ili poslužitelj u nesigurnom načinu rada, ITL datoteka se preuzima na svaki podržani Cisco IP telefon. Partner može vidjeti sadržaj ITL datoteke pomoću naredbe CLI, admin:show itl.
Cisco IP telefoni trebaju ITL datoteku za obavljanje sljedećih zadataka:
Sigurno komunicirajte s CAPF-om, što je preduvjet za podršku enkripciji konfiguracijskih datoteka
Potvrdi autentičnost potpisa konfiguracijske datoteke
Potvrdite autentičnost poslužitelja aplikacija, kao što su EM usluge, direktorij i MIDlet tijekom uspostavljanja HTTPS-a pomoću TELEVIZORA
Provjera autentičnosti uređaja, datoteke i signalizacije oslanja se na izradu datoteke Popis povjerenja certifikata (CTL), koja se stvara kada partner ili klijent instalira i konfigurira Cisco popis povjerenja klijenta certifikata.
CTL datoteka sadrži unose za sljedeće poslužitelje ili sigurnosne žetone:
Sigurnosni token administratora sustava (SAST)
Cisco CallManager i Cisco TFTP usluge koje rade na istom poslužitelju
Proxy funkcija ovlaštenja za izdavanje certifikata (CAPF)
TFTP poslužitelj(i)
Protupožarni zid tužitelja
CTL datoteka sadrži certifikat poslužitelja, javni ključ, serijski broj, potpis, ime izdavatelja, ime subjekta, funkciju poslužitelja, DNS naziv i IP adresu za svaki poslužitelj.
Sigurnost telefona uz CTL pruža sljedeće funkcije:
Provjera autentičnosti preuzetih TFTP datoteka (konfiguracija, lokalno, popis prstena i tako dalje) pomoću ključa za potpisivanje
Šifriranje TFTP konfiguracijskih datoteka pomoću znakovnog ključa
Šifrirana signalizacija poziva za IP telefone
Šifrirani audio poziv (mediji) za IP telefone
Namjenska instanca pruža registraciju krajnje točke i obradu poziva. Signalizacija između Cisco Unified CM-a i krajnjih točaka temelji se na Secure Skinny Client Control Protocol (SCCP) ili Session Initiation Protocol (SIP) i može se šifrirati pomoću Transport Layer Security (TLS). Medij od/do krajnjih točaka temelji se na Protokolu prijevoza u stvarnom vremenu (RTP), a može se i šifrirati pomoću Secure RTP-a (SRTP).
Omogućavanje mješovitog načina rada na Unified CM omogućuje enkripciju signalizacije i medijskog prometa od Ciscovih krajnjih točaka i do njih.
Sigurne UC aplikacije
Mješoviti način rada nije omogućen prema zadanim postavkama u namjenskoj instanci.
Omogućavanje mješovitog načina rada u namjenskoj instanci omogućuje izvršavanje enkripcije signalizacije i medijskog prometa od Ciscovih krajnjih točaka i do njih.
U Cisco Unified CM izdanju 12.5(1), za Jabber i Webex klijente dodana je nova opcija omogućavanja enkripcije signalizacije i medija na temelju SIP OAuth umjesto mješovitog načina rada /CTL-a. Stoga se u Unified CM izdanju 12.5(1) SIP OAuth i SRTP mogu koristiti za omogućavanje enkripcije za signalizaciju i medije za Jabber ili Webex klijente. Omogućavanje mješovitog načina rada i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje točke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u 7800/8800 krajnjih točaka u budućem izdanju.
Cisco Unity povezivanje spaja se na Unified CM putem TLS porta. Kad sigurnosni način rada uređaja nije siguran, Cisco Unity Connection povezuje se s Unified CM putem SCCP priključka.
Kako bi konfigurirao sigurnost za unificirane CM portove za glasovne poruke i Cisco Unity uređaje koji pokreću SCCP ili Cisco Unity Connection uređaje koji pokreću SCCP, partner može odabrati siguran sigurnosni način rada uređaja za port. Ako odaberete autentificirani port za govornu poštu, otvara se TLS veza, koja autentificira uređaje uzajamnom razmjenom certifikata (svaki uređaj prihvaća certifikat drugog uređaja). Ako odaberete šifrirani port za govornu poštu, sustav prvo provjerava autentičnost uređaja, a zatim šalje šifrirane glasovne tokove između uređaja.
Za više informacija o portovima za glasovne poruke o sigurnosti pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sigurnost za SRST, Trunks, Gateways, CUBE/SBC
Cisco Jedinstvena telefonija na daljinu (SRST) omogućuje ograničene zadatke obrade poziva ako Cisco Unified CM na namjenskoj instanci ne može dovršiti poziv.
Sigurni pristupnici s omogućenim SRST-om sadrže samopotpisani certifikat. Nakon što partner obavi konfiguracijske zadatke SRST-a u Unified CM administraciji, Unified CM koristi TLS vezu za provjeru autentičnosti s uslugom Pružatelja certifikata u SRST-ovom pristupniku. Unified CM zatim preuzima certifikat iz SRST-ovog pristupnika i dodaje certifikat u Unified CM bazu podataka.
Nakon što partner resetira zavisne uređaje u Jedinstvenoj CM administraciji, TFTP poslužitelj dodaje SRST omogućen gateway certifikat u cnf.xml datoteku telefona i šalje datoteku na telefon. Sigurni telefon zatim koristi TLS vezu za interakciju s pristupnikom koji podržava SRST.
Preporučuje se imati sigurne prtljažnike za poziv koji potječe od Cisco Unified CM do pristupnika za odlazne PSTN pozive ili koji putuju kroz Cisco Unified Border Element (CUBE).
SIP debla mogu podržati sigurne pozive i za signalizaciju i za medije; TLS pruža signalizaciju enkripcije i SRTP pruža medijsku enkripciju.
Osiguranje komunikacije između Cisco Unified CM i CUBE
Za sigurnu komunikaciju između Cisco Unified CM-a i Cube-a, partneri/kupci moraju koristiti samopotpisane certifikate ili CA-potpisane certifikate.
Za samopotpisane certifikate:
CUBE i Cisco Unified CM generiraju samopotpisane certifikate
KOCKA izvozi certifikat u Cisco Unified CM
Cisco Unified CM izvozi certifikat na KOCKU
Za certifikate s potpisom CA:
Klijent generira par ključeva i šalje Zahtjev za potpisivanje certifikata (CSR) tijelu za izdavanje certifikata (CA)
CA ga potpisuje svojim privatnim ključem, stvarajući potvrdu identiteta
Naručitelj instalira popis pouzdanih CA korijenskih i posredničkih certifikata i potvrdu identiteta
Sigurnost za udaljene krajnje točke
S krajnjim točkama mobilnog i daljinskog pristupa (MRA), signalizacija i mediji uvijek su šifrirani između krajnjih točaka MRA i čvorova brze ceste. Ako se protokol Interactive Connectivity Establishment (ICE) koristi za MRA krajnje točke, potrebna je signalizacija i medijska enkripcija MRA krajnjih točaka. Međutim, enkripcija signalizacije i medija između Expressway-C i internih Unified CM poslužitelja, internih krajnjih točaka ili drugih internih uređaja zahtijeva mješoviti način rada ili SIP OAuth.
Cisco Expressway pruža sigurnu vatrozidnu travezu i linijsku podršku za Unified CM registracije. Unified CM pruža kontrolu poziva za mobilne i krajnje točke na licu mjesta. Signalizacija prolazi kroz rješenje brze ceste između udaljene krajnje točke i Unified CM-a. Mediji prolaze kroz rješenje brze ceste i prenose se izravno između krajnjih točaka. Svi mediji su šifrirani između brze ceste C i mobilne krajnje točke.
Svako MRA rješenje zahtijeva Expressway i Unified CM, s MRA-kompatibilnim mekim klijentima i/ili fiksnim krajnjim točkama. Rješenje po želji može uključivati IM i Presence Service i Unity Connection.
Sažetak protokola
Sljedeća tablica prikazuje protokole i povezane usluge korištene u Unified CM rješenju.
Protokol |
Sigurnost |
Usluga |
---|---|---|
SIP |
TLS |
Uspostava sesije: Registrirajte se, pozovite itd. |
HTTPS |
TLS |
Prijava, Provisioning/Configuration, Directory, Visual Voicemail |
Mediji |
SRTP |
Mediji: Audio, Video, Dijeljenje sadržaja |
XMPP |
TLS |
Instant poruke, Prisutnost, Federacija |
Za više informacija o konfiguraciji magnetske rezonance pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcije konfiguracije
Namjenska instanca pruža Partneru fleksibilnost za prilagođavanje usluga za krajnje korisnike kroz potpunu kontrolu konfiguracija za drugi dan. Kao rezultat toga, Partner je isključivo odgovoran za pravilnu konfiguraciju usluge Dedicated Instance za okruženje krajnjeg korisnika. To uključuje, ali nije ograničeno na:
Odabir sigurnih/nesigurnih poziva, sigurnih/nesigurnih protokola kao što su SIP/sSIP, http/https itd., te razumijevanje svih povezanih rizika.
Za sve MAC adrese koje nisu konfigurirane kao sigurne-SIP u namjenskoj instanci, napadač može slati SIP poruku Registru koristeći tu Mac adresu i biti u mogućnosti obavljati SIP pozive, što rezultira prijevarom naplate cestarine. Preduvjet je da napadač može registrirati svoj SIP uređaj/softver na namjensku instancu bez odobrenja ako zna Mac adresu uređaja registriranog u namjenskoj instanci.
Pravila poziva brze ceste (Expressway-E), pravila za transformaciju i pretraživanje trebaju se konfigurirati kako bi se spriječile prijevare s cestarinom. Za više informacija o sprječavanju prijevara s naplatom cestarine na brzim cestama pogledajte odjeljak Osiguranje za brzu cestu C i brzu cestu E Suradnje SRND.
Konfiguracija plana biranja kako bi se osiguralo da korisnici mogu birati samo odredišta koja su dopuštena, npr. zabrana nacionalnog/međunarodnog biranja, pravilno usmjeravanje poziva u slučaju nužde itd. Za više informacija o primjeni ograničenja pomoću plana biranja pogledajte odjeljak Plan biranja u SRND-u suradnje.
Zahtjevi certifikata za sigurne veze u namjenskoj instanci
Za namjensku instancu, Cisco će pružiti domenu i potpisati sve certifikate za UC aplikacije koristeći javno tijelo za izdavanje certifikata (CA).
Namjenski primjer – brojevi luka i protokoli
Sljedeće tablice opisuju priključke i protokole koji su podržani u namjenskoj instanci. Pristaništa koja se koriste za određenog kupca ovise o implementaciji i rješenju Klijenta. Protokoli ovise o želji kupca (SCCP vs SIP), postojećim uređajima u prostorijama i razini sigurnosti kako bi se utvrdilo koje će se luke koristiti u svakom uvođenju.
Namjenska instanca – portovi kupca
Pristaništa dostupna kupcima - između Prostorije kupca i Namjenske instance prikazana je u Tablici 1 Pristaništa namjenske instance kupca. Sve luke navedene u nastavku namijenjene su za promet kupaca koji prelaze preko špijunskih veza.
SNMP priključak je podržan samo za CER funkcionalnost, a ne za bilo koje druge alate za praćenje treće strane. |
Portove u rasponu od 5063 do 5080 Cisco je rezervirao za druge integracije u oblaku, a partnerima ili administratorima klijenata preporučuje se da ne koriste te portove u svojim konfiguracijama. |
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni priključak |
Odredišna luka |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UC aplikacije |
Veći od 1023 |
22 |
Administracija |
LDAP |
TCP |
UC aplikacije |
Vanjski direktorij |
Veći od 1023 |
389 |
Sinkronizacija direktorija s LDAP-om kupca |
HTTPS |
TCP |
Preglednik |
UC aplikacije |
Veći od 1023 |
443 |
Web pristup za sučelja za brigu o sebi i administrativna sučelja |
LDAP (SIGURNO) |
TCP |
UC aplikacije |
Vanjski direktorij |
Veći od 1023 |
636 |
Sinkronizacija direktorija s LDAP-om kupca |
SCCP |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Veći od 1023 |
2000 |
Signal poziva |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Veći od 1023 |
2000 |
Signal poziva |
SCCP (SIGURNO) |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Veći od 1023 |
2443 |
Signal poziva |
SCCP (SIGURNO) |
TCP |
Unified CM |
Unified CM, Gateway |
Veći od 1023 |
2443 |
Signal poziva |
Verifikacija povjerenja |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
2445 |
Pružanje usluge provjere povjerenja krajnjim točkama |
CTI |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
2748 |
Povezivanje između CTI aplikacija (JTAPI/TSP) i CTIManager |
Siguran CTI |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
2749 |
Sigurna veza između CTI aplikacija (JTAPI/TSP) i CTIManager |
LDAP globalni katalog |
TCP |
UC aplikacije |
Vanjski direktorij |
Veći od 1023 |
3268 |
Sinkronizacija direktorija s LDAP-om kupca |
LDAP globalni katalog |
TCP |
UC aplikacije |
Vanjski direktorij |
Veći od 1023 |
3269 |
Sinkronizacija direktorija s LDAP-om kupca |
Usluga CAPF-a |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
3804 |
Proxy funkcija ovlaštenja za izdavanje certifikata (CAPF) za slušanje za izdavanje lokalno značajnih certifikata (LSC) na IP telefone |
SIP |
TCP |
Krajnja točka |
Unified CM, CUCxn |
Veći od 1023 |
5060 |
Signal poziva |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Veći od 1023 |
5060 |
Signal poziva |
SIP (SIGURNO) |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
5061 |
Signal poziva |
SIP (SIGURNO) |
TCP |
Unified CM |
Unified CM, Gateway |
Veći od 1023 |
5061 |
Signal poziva |
SIP (OAUTH) |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
5090 |
Signal poziva |
XMPP |
TCP |
Jabber klijent |
Cisco IM&P |
Veći od 1023 |
5222 |
Instant poruke i prisutnost |
HTTP |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
6970 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTPS |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
6971 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTPS |
TCP |
Krajnja točka |
Unified CM |
Veći od 1023 |
6972 |
Preuzimanje konfiguracije i slika na krajnje točke |
HTTP |
TCP |
Jabber klijent |
CUCxn |
Veći od 1023 |
7080 |
Obavijesti putem govorne pošte |
HTTPS |
TCP |
Jabber klijent |
CUCxn |
Veći od 1023 |
7443 |
Sigurne obavijesti putem govorne pošte |
HTTPS |
TCP |
Unified CM |
Unified CM |
Veći od 1023 |
7501 |
Služba za pretraživanje međuklastera (ILS) koristi se za provjeru autentičnosti na temelju certifikata |
HTTPS |
TCP |
Unified CM |
Unified CM |
Veći od 1023 |
7502 |
ILS koristi za provjeru autentičnosti na temelju zaporke |
IMAP |
TCP |
Jabber klijent |
CUCxn |
Veći od 1023 |
7993 |
IMAP preko TLS-a |
HTTPS |
TCP |
Preglednik, Krajnja točka |
UC aplikacije |
Veći od 1023 |
8443 |
Web pristup za sučelja za brigu o sebi i administraciju, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
Veći od 1023 |
9443 |
Autentificirano pretraživanje kontakata |
Siguran RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - Glazba na čekanju, Navještenje, Softverska konferencija Most (Otvoreno na temelju signala poziva) |
Siguran RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (audio) - Glazba na čekanju, Navještenje, Softverska konferencija Most (Otvoreno na temelju signala poziva) |
ICMP |
ICMP |
Krajnja točka |
UC aplikacije |
n.d. |
n.d. |
Ping |
ICMP |
ICMP |
UC aplikacije |
Krajnja točka |
n.d. |
n.d. |
Ping |
* Neki posebni slučajevi mogu koristiti veći raspon. |
Namjenski termin – OTT priključci
Kupci i partneri mogu koristiti sljedeći popis portova za postavljanje mobilnog i daljinskog pristupa (MRA):
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni priključak |
Odredišna luka |
Svrha |
---|---|---|---|---|---|---|
SIGURNOSNI SIP |
TCP |
Krajnja točka |
Brza cesta E |
Veći od 1023 |
5061 |
Sigurnosna SIP signalizacija za MRA registraciju i pozive |
SIGURNOSNI SIP |
TCP |
Krajnja točka/poslužitelj |
Brza cesta E |
Veći od 1023 |
5062 |
Siguran SIP za B2B pozive |
SIGURAN RTP/RTCP |
UDP |
Krajnja točka/poslužitelj |
Brza cesta E |
Veći od 1023 |
36000-59999 |
Sigurni mediji za MRA i B2B pozive |
HTTPS (SIGURNO) |
TLS |
Klijent |
Brza cesta E |
Veći od 1023 |
8443 |
CUCM UDS i CUCxn REST za MRA pozive |
XML-OVI |
TLS |
Klijent |
Brza cesta E |
Veći od 1023 |
5222 |
IM i prisutnost |
OKRETANJE |
UDP |
LED KLIJENT |
Brza cesta E |
Veći od 1023 |
3478 |
Pregovori o LEDU/OMAMLJIVANJU/OKRETANJU |
SIGURAN RTP/RTCP |
UPD |
LED KLIJENT |
Brza cesta E |
Veći od 1023 |
24000-29999 |
UKLJUČITE medije za rezervni LED |
Namjenski termin – UCCX priključci
Kupci i partneri mogu koristiti sljedeći popis portova za konfiguriranje UCCX-a.
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni priključak |
Odredišna luka |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UCCX |
Veći od 1023 |
22 |
SFTP i SSH |
Informix |
TCP |
Klijent ili poslužitelj |
UCCX |
Veći od 1023 |
1504 |
Jedinstveni priključak CCX baze podataka |
SIP |
UDP i TCP |
SIP GW ili MCRP poslužitelj |
UCCX |
Veći od 1023 |
5065 |
Komunikacija s udaljenim GW i MCRP čvorovima |
XMPP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
5223 |
Sigurna XMPP veza između Finesse poslužitelja i prilagođenih aplikacija treće strane |
CVD |
TCP |
Klijent |
UCCX |
Veći od 1023 |
6999 |
Uređivač u CCX aplikacije |
HTTPS |
TCP |
Klijent |
UCCX |
Veći od 1023 |
7443 |
Sigurna BOSH veza između Finesse poslužitelja i desktopa agenta i supervizora za komunikaciju preko HTTPS-a |
HTTP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8080 |
Klijenti koji izvještavaju o živim podacima spajaju se na utičnicu.IO poslužitelj |
HTTP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8081 |
Klijentski preglednik pokušava pristupiti Cisco Unified Intelligence Center web sučelju |
HTTP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8443 |
Admin GUI, RTMT, DB pristup putem SAPUNA |
HTTPS |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8444 |
Cisco Unified Intelligence Center web sučelje |
HTTPS |
TCP |
Klijenti preglednika i OSTATKA |
UCCX |
Veći od 1023 |
8445 |
Sigurnosni priključak za Finesse |
HTTPS |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8447 |
HTTPS - Jedinstveni obavještajni centar online pomoć |
HTTPS |
TCP |
Klijent |
UCCX |
Veći od 1023 |
8553 |
Komponente jedinstvenog prijave (SSO) pristupaju ovom sučelju kako bi znale radni status Cisco IdS-a. |
HTTP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
9080 |
Klijenti koji pokušavaju pristupiti HTTP okidačima ili dokumentima / upitima / gramima /podacima uživo. |
HTTPS |
TCP |
Klijent |
UCCX |
Veći od 1023 |
9443 |
Sigurni port koji se koristi za odgovor klijentima koji pokušavaju pristupiti HTTPS okidačima |
TCP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12014 |
Ovo je port gdje se klijenti koji izvještavaju o živim podacima mogu spojiti na utičnicu.IO poslužitelj |
TCP |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12015 |
Ovo je port gdje se klijenti koji izvještavaju o živim podacima mogu spojiti na utičnicu.IO poslužitelj |
CTI |
TCP |
Klijent |
UCCX |
Veći od 1023 |
12028 |
Treća strana CTI klijent CCX-u |
RTP(mediji) |
TCP |
Krajnja točka |
UCCX |
Veći od 1023 |
Veći od 1023 |
Medijski priključak se otvara dinamički po potrebi |
RTP(mediji) |
TCP |
Klijent |
Krajnja točka |
Veći od 1023 |
Veći od 1023 |
Medijski priključak se otvara dinamički po potrebi |
Sigurnost klijenta
Osiguravanje Jabbera i Webexa SIP OAuthom
Jabber i Webex klijenti ovjeravaju se putem OAuth tokena umjesto lokalno značajnog certifikata (LSC), za koji nije potrebna funkcija proxy autoriteta certifikata (CAPF) (i za MRA). SIP OAuth koji radi s mješovitim načinom rada ili bez njega uveden je u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
U Cisco Unified CM 12.5 imamo novu opciju u Phone Security profilu koja omogućuje šifriranje bez LSC/CAPF-a, koristeći jedinstveni Transport Layer Security (TLS) + OAuth token u SIP REGISTRU. Čvorovi Expressway-C koriste API Administrative XML Web Service (AXL) kako bi obavijestili Cisco Unified CM o SN/SAN u svom certifikatu. Cisco Unified CM koristi ove informacije za provjeru certifikata Exp-C prilikom uspostavljanja međusobne TLS veze.
SIP OAuth omogućuje enkripciju medija i signalizaciju bez certifikata krajnje točke (LSC).
Cisco Jabber koristi efemerne portove i sigurne portove 6971 i 6972 preko HTTPS veze na TFTP poslužitelj za preuzimanje konfiguracijskih datoteka. Port 6970 je nesiguran port za preuzimanje putem HTTP-a.
Više detalja o konfiguraciji SIP OAuth: SIP OAuth mod.
DNS zahtjevi
Za Dedicated Instance Cisco pruža FQDN za uslugu u svakoj regiji u sljedećem formatu<customer>.. .wxc-di.webex.com<region>, na primjer, xyz.amer.wxc-di.webex.com.
Vrijednost „kupca” osigurava administrator kao dio Čarobnjaka za postavljanje prvog puta (FTSW). Više informacija potražite u poglavlju Aktivacija usluge namjenske instance.
DNS zapisi za ovaj FQDN moraju biti rješivi s internog DNS poslužitelja kupca kako bi podržali uređaje na licu mjesta koji se spajaju na namjensku instancu. Kako bi se olakšalo rješavanje, kupac mora konfigurirati Uvjetni špediter, za ovaj FQDN, na svom DNS poslužitelju koji pokazuje na DNS uslugu namjenske instance. DNS usluga namjenske instance je regionalna i može se doći putem virenja na IP adresu namjenske instance, koristeći sljedeće IP adrese kao što je navedeno u donjoj tablici DNS IP adresa namjenske instance.
Regija/DC |
IP adresa namjenske instance DNS usluge | Primjer uvjetnog prosljeđivanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
GRIJEH |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping opcija je onemogućena za gore navedene DNS poslužiteljske IP adrese iz sigurnosnih razloga. |
Dok se ne uspostavi uvjetno prosljeđivanje, uređaji se neće moći registrirati na namjensku instancu iz interne mreže korisnika putem virećih poveznica. Uvjetno prosljeđivanje nije potrebno za registraciju putem mobilnog i daljinskog pristupa (MRA), jer će Cisco unaprijed osigurati sve potrebne vanjske DNS zapise za olakšavanje MRA-a.
Kada koristite Webex aplikaciju kao klijent za pozivanje na namjenskoj instanci, UC Manager profil mora biti konfiguriran u Control Hub-u za svaku govornu domenu (VSD) svake regije. Za više informacija pogledajte Profili upravitelja UC-a u Cisco Webex Control Hub-u. Aplikacija Webex moći će automatski riješiti rub brze ceste kupca bez ikakve intervencije krajnjeg korisnika.
Voice Service Domena pružit će se kupcu kao dio partnerskog pristupnog dokumenta nakon završetka aktivacije usluge. |
Preporuke
Cisco suradnja 12.x Projektiranje referentne mreže rješenja (SRND), Sigurnosna tema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sigurnosni vodič za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html