- Kezdőlap
- /
- Cikk
Dedikált példányhálózat és biztonsági követelmények
A dedikált példány megoldásának hálózati és biztonsági követelményei a biztonságos fizikai hozzáférést, hálózatot, végpontokat és Cisco UC alkalmazásokat biztosító funkciók és funkciók réteges megközelítése. Leírja a hálózati követelményeket, és felsorolja a végpontok szolgáltatásokhoz való csatlakoztatásához használt címeket, portokat és protokollokat.
A dedikált példány hálózati követelményei
A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia hajt. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.
Ez a cikk a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik dedikált példányt szeretnének használni a szervezetükön belül.
Biztonsági áttekintés: Biztonság a rétegekben
A dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:
-
Fizikai hozzáférés
-
Hálózat
-
Végpontok
-
UC alkalmazások
A következő szakaszok a dedikált példányok üzembe helyezésének biztonsági rétegeit ismertetik.
Fizikai biztonság
Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneknek és a Cisco Dedicated Instance Data Center létesítményeknek. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások kezdeményezhetők, például a szolgáltatás megszakadása az ügyfél kapcsolóinak áramellátásának leállításával. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, például a közbeékelődéses támadásokat, ezért kritikus fontosságú a második biztonsági réteg, a hálózati biztonság.
Az öntitkosító meghajtókat az UC-alkalmazásokat üzemeltető dedikált példány-adatközpontokban használják.
Az általános biztonsági gyakorlatokról bővebben lásd a dokumentációt a következő helyen: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Hálózatbiztonság
A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságban legyen a dedikált példány infrastruktúrájában (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa az ajánlott biztonsági eljárásokat, például:
-
Külön VLAN a hanghoz és az adatokhoz
-
Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztása ellen
-
IP-forrásvédelem a hamisított IP-címek ellen
-
A dinamikus ARP-ellenőrzés (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a szabálysértések szempontjából (az ARP-hamisítás ellen)
-
802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es verziót.)1x
-
A szolgáltatásminőség (QoS) konfigurálása a hangcsomagok megfelelő jelöléséhez
-
Tűzfalport-konfigurációk a többi forgalom blokkolásához
Végpontok biztonsága
A Cisco végpontjai támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt belső vezérlőprogram, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.
Emellett egy partner vagy ügyfél további biztonságot is engedélyezhet, például:
-
IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility
-
Helyileg jelentős tanúsítványok (LSC-k) kiállítása a hitelesítésszolgáltató proxy funkciójából (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)
-
Konfigurációs fájlok titkosítása
-
Média és jelzés titkosítása
-
Tiltsa le ezeket a beállításokat, ha nem használja őket: PC port, PC Voice VLAN hozzáférés, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol
A dedikált példány biztonsági mechanizmusainak megvalósítása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását és a hívásjelzés / médiafolyam manipulálását.
Dedikált példány a hálózaton keresztül:
-
Hitelesített kommunikációs streameket hoz létre és tart karban
-
Digitálisan aláírja a fájlokat, mielőtt átviszi a fájlt a telefonra
-
Titkosítja a médiafolyamokat és a hívásjelzést a Cisco Unified IP-telefonok között
A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:
-
A telefon konfigurációs fájljainak aláírása
-
A telefonkonfigurációs fájl titkosításának támogatása
-
HTTPS a Tomcattel és más webszolgáltatásokkal (MIDlets)
A Unified CM 8.0 újabb kiadásában ezek a biztonsági funkciók alapértelmezés szerint a Tanúsítványmegbízhatósági lista (CTL) ügyfél futtatása nélkül érhetők el.
Megbízhatósági hitelesítési szolgáltatásMivel a hálózatban sok telefon van, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a megbízhatóság-ellenőrzési szolgáltatáson (TVS) keresztül, így nem kell minden telefonra tanúsítvány-megbízhatósági tárolót helyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert nem tudják ellenőrizni az aláírást vagy a tanúsítványt CTL vagy ITL fájlokon keresztül. A központi bizalmi tárolót könnyebb kezelni, mint a bizalmi tárolót minden Cisco Unified IP-telefonon.
A TVS lehetővé teszi a Cisco Unified IP-telefonok számára az alkalmazáskiszolgálók, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.
Kezdeti megbízhatósági listaA kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkció explicit engedélyezésére. A fürt telepítésekor a rendszer automatikusan létrehozza a ITL-fájlt. A Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló titkos kulcsa az ITL-fájl aláírására szolgál.
Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL fájl minden támogatott Cisco IP-telefonra letöltődik. A partnerek az ITL-fájlok tartalmát az admin:show itl CLI-paranccsal tekinthetik meg.
A Cisco IP-telefonoknak szükségük van az ITL-fájlra a következő feladatok végrehajtásához:
-
Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosítása támogatásának előfeltétele
-
A konfigurációs fájl aláírásának hitelesítése
-
Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS létrehozása során TVS használatával
Az eszköz-, fájl- és jelzéshitelesítés a Tanúsítványmegbízhatósági lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista kliensét.
A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:
-
Rendszergazdai biztonsági jogkivonat (SAST)
-
Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak
-
Hitelesítésszolgáltató proxy funkciója (CAPF)
-
TFTP-kiszolgáló(k)
-
ASA tűzfal
A CTL-fájl tartalmazza a kiszolgálói tanúsítványt, a nyilvános kulcsot, a sorozatszámot, az aláírást, a kiállító nevét, a tulajdonos nevét, a kiszolgáló funkcióját, a DNS-nevet és az egyes kiszolgálók IP-címét.
A telefon biztonsága a CTL-lel a következő funkciókat biztosítja:
-
A TFTP által letöltött fájlok (konfiguráció, területi beállítás, ringlist stb.) hitelesítése aláírókulccsal
-
TFTP konfigurációs fájlok titkosítása aláírókulccsal
-
Titkosított hívásjelzés IP-telefonokhoz
-
Titkosított híváshang (média) IP-telefonokhoz
A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról vagy végpontokra irányuló adathordozók a Real-Time Transport Protocol (RTP) protokollon alapulnak, és a Secure RTP (SRTP) használatával is titkosíthatók.
A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.
Biztonságos UC-alkalmazások
Vegyes mód engedélyezése dedikált példánybanA vegyes mód alapértelmezés szerint engedélyezve van a Dedikált példányban.
A vegyes mód engedélyezése a dedikált példányban lehetővé teszi a Cisco végpontokról és a Cisco végpontokra irányuló jelátviteli és médiaforgalom titkosítását.
A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex ügyfelek számára új lehetőség került hozzáadásra a SIP OAuth alapú jelzések és adathordozók titkosításának engedélyezésére vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozójának titkosításának engedélyezésére. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP-telefonokhoz és más Cisco végpontokhoz. Egy jövőbeli kiadásban a SIP OAuth támogatását 7800/8800-as végpontokon is hozzá lehet adni.
A hangüzenetek biztonságaA Cisco Unity Connection a TLS-porton keresztül csatlakozik a Unified CM-hez. Ha az eszközbiztonsági mód nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik a Unified CM-hez.
A Unified CM hangüzenet-portok és az SCCP-t futtató Cisco Unity-eszközök vagy SCCP-t futtató Cisco Unity-eszközök biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.
A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Az SRST, a törzsek, az átjárók, a CUBE/SBC biztonsága
A Cisco Unified Survivable Remote Site Telephony (SRST) kompatibilis átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a dedikált példányon lévő Cisco Unified CM nem tudja befejezni a hívást.
A biztonságos SRST-kompatibilis átjárók önaírt tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat hajt végre az Egyesített CM felügyeletben, a Unified CM TLS-kapcsolatot használ a hitelesítéshez a Tanúsítványszolgáltató szolgáltatással az SRST-kompatibilis átjáróban. A Unified CM ezután lekéri a tanúsítványt az SRST-kompatibilis átjáróból, és hozzáadja a tanúsítványt az egyesített CM-adatbázishoz.
Miután a partner alaphelyzetbe állította a függő eszközöket az Egyesített CM-felügyeletben, a TFTP-kiszolgáló hozzáadja az SRST-kompatibilis átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáróval való interakcióhoz.
Javasoljuk, hogy biztonságos törzsekkel rendelkezzen a Cisco Unified CM-ből az átjáróhoz kimenő PSTN-hívásokhoz vagy a Cisco Unified Border Element (CUBE) áthaladásához szükséges híváshoz.
A SIP trönkök támogathatják a biztonságos hívásokat mind a jelzés, mind a média számára; A TLS jelátviteli titkosítást, az SRTP pedig médiatitkosítást biztosít.
Kommunikáció biztosítása a Cisco Unified CM és a CUBE között
A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.
Önaláírt tanúsítványok esetén:
-
A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre
-
A CUBE tanúsítványt exportál a Cisco Unified CM-be
-
A Cisco Unified CM tanúsítványt exportál a CUBE-ba
Hitelesítésszolgáltató által aláírt tanúsítványok esetén:
-
Az ügyfél létrehoz egy kulcspárt, és elküld egy tanúsítvány-aláírási kérelmet (CSR) a hitelesítésszolgáltatónak (CA)
-
A hitelesítésszolgáltató aláírja a titkos kulcsával, és létrehoz egy identitástanúsítványt
-
Az ügyfél telepíti a megbízható hitelesítésszolgáltató legfelső szintű és köztes tanúsítványainak listáját, valamint az identitástanúsítványt
Biztonság távoli végpontokhoz
A mobil és távoli hozzáférési (MRA) végpontokkal a jelzés és az adathordozó mindig titkosítva van az MRA végpontok és az Expressway csomópontok között. Ha az MRA-végpontokhoz az Interactive Connectivity Establishment (ICE) protokollt használják, az MRA-végpontok jelzési és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM szerverek, belső végpontok vagy más belső eszközök közötti jelzés és adathordozó titkosításához azonban vegyes módú vagy SIP OAuth szükséges.
A Cisco Expressway biztonságos tűzfal-bejárást és vonaloldali támogatást nyújt az egységes CM-regisztrációkhoz. A Unified CM hívásvezérlést biztosít mind a mobil, mind a helyszíni végpontok számára. A jelzés áthalad az Expressway megoldáson a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül továbbítja a végpontok között. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.
Bármely MRA megoldáshoz gyorsforgalmi út és Unified CM szükséges, MRA-kompatibilis lágy ügyfelekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and Presence szolgáltatást és a Unity Connection-t.
Protokoll összefoglalója
Az alábbi táblázat a Unified CM megoldásban használt protokollokat és társított szolgáltatásokat mutatja be.
Protokoll |
Biztonság |
Szolgáltatás |
---|---|---|
SIP |
TLS |
Munkamenet létrehozása: Regisztráció, meghívás stb. |
HTTPS |
TLS |
Bejelentkezés, kiépítés/konfigurálás, címtár, vizuális hangposta |
Média |
SRTP |
Média: Hang, videó, tartalommegosztás |
XMPP |
TLS |
Azonnali üzenetküldés, jelenlét, összevonás |
Az MRA konfigurációjával kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurációs beállítások
A dedikált példány rugalmasságot biztosít a partner számára a végfelhasználók szolgáltatásainak testreszabásához a második napi konfigurációk teljes körű vezérlésével. Ennek eredményeképpen a Partner kizárólagos felelősséggel tartozik a Dedikált példány szolgáltatás megfelelő konfigurálásáért a végfelhasználói környezethez. Ez magában foglalja, de nem kizárólagosan a következőket:
-
Biztonságos / nem biztonságos hívások, biztonságos / nem biztonságos protokollok, például SIP / sSIP, http / https stb. kiválasztása és a kapcsolódó kockázatok megértése.
-
Minden olyan MAC-cím esetében, amely nincs biztonságos SIP-ként konfigurálva a dedikált példányban, a támadó SIP-regisztrációs üzenetet küldhet ezzel a MAC-címmel, és SIP-hívásokat kezdeményezhet, ami útdíjcsalást eredményez. A probléma az, hogy a támadó engedély nélkül regisztrálhatja SIP-eszközét/szoftverét a dedikált példányra , ha ismeri a dedikált példányban regisztrált eszköz MAC-címét.
-
Az Expressway-E hívási szabályzatokat, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák az útdíjcsalásokat. Az útdíjcsalások gyorsforgalmi utak használatával történő megelőzésével kapcsolatos további információkért lásd: Az SRNDegyüttműködés C gyorsforgalmi útjának és gyorsforgalmi út-E szakaszának biztonsága .
-
A tárcsázási terv konfigurációja biztosítja, hogy a felhasználók csak olyan célállomásokat tárcsázhatnak, amelyek engedélyezettek (pl. megtiltják az országos/nemzetközi tárcsázást, a segélyhívások megfelelő átirányítását stb.). A tárcsázási terv használatával kapcsolatos további információkért tekintse meg az Együttműködési SRND Tárcsázási terv részét.
A dedikált példány biztonságos kapcsolataira vonatkozó tanúsítványkövetelmények
Dedikált példány esetén a Cisco biztosítja a tartományt, és aláírja az UC-alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) használatával.
Dedikált példány – portszámok és protokollok
Az alábbi táblázatok a dedikált példányok által támogatott portokat és protokollokat ismertetik. Az adott ügyfélhez használt portok az ügyfél üzembe helyezésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs SIP), a meglévő helyszíni eszközöktől és attól függnek, hogy milyen biztonsági szinttől annak meghatározásához, hogy mely portokat kell használni az egyes telepítésekben.
A dedikált példány nem engedélyezi a hálózati cím fordítását (NAT) a végpontok és a Unified CM között, mivel egyes hívásfolyamat-funkciók, például a hívás közbeni funkció nem fog működni.
Dedikált példány – Ügyfélportok
Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között – az 1 . táblázat dedikált példány ügyfélportjaiközött láthatók. Az alább felsorolt összes port a társviszony-létesítési kapcsolatokon áthaladó ügyfélforgalomra vonatkozik.
Az SNMP-port alapértelmezés szerint csak a Cisco Emergency Responder számára van nyitva, hogy támogassa annak funkcióit. Mivel nem támogatjuk a dedikált példány felhőjében telepített UC-alkalmazásokat figyelő partnereket vagy ügyfeleket, nem engedélyezzük az SNMP-port megnyitását más UC-alkalmazások számára.
Az 5063 és 5080 közötti tartományú portokat a Cisco más felhőintegrációk számára tartja fenn, ezért a partner- vagy ügyfélrendszergazdák javasoljuk, hogy ne használják ezeket a portokat a konfigurációikban.
Protokoll |
TCP/UDP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UC alkalmazások Cisco Expressway alkalmazásokhoz nem engedélyezett. |
Nagyobb, mint 1023 |
22 |
Felügyelet |
tftp-t |
UDP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
69 |
Örökölt végpont támogatás |
LDAP |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
389 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
HTTPS |
TCP |
Böngésző |
UC alkalmazások |
Nagyobb, mint 1023 |
443 |
Webes hozzáférés az öngondoskodási és adminisztrációs felületekhez |
Kimenő levelek (SECURE) |
TCP |
UC-alkalmazás |
CUCxn |
Nagyobb, mint 1023 |
587 |
Biztonságos üzenetek írására és küldésére szolgál bármely kijelölt címzettnek |
LDAP (BIZTONSÁGOS) |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
636 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
H323 |
TCP |
Átjáró |
Egységes CM |
Nagyobb, mint 1023 |
1720 |
Hívásjelzés |
H323 |
TCP |
Egységes CM |
Egységes CM |
Nagyobb, mint 1023 |
1720 |
Hívásjelzés |
SCCP |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
2000 |
Hívásjelzés |
SCCP |
TCP |
Egységes CM |
Egységes CM, átjáró |
Nagyobb, mint 1023 |
2000 |
Hívásjelzés |
mgcp |
UDP |
Átjáró |
Átjáró |
Nagyobb, mint 1023 |
2427 |
Hívásjelzés |
MGCP hátizsákos |
TCP |
Átjáró |
Egységes CM |
Nagyobb, mint 1023 |
2428 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
2443 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Egységes CM |
Egységes CM, átjáró |
Nagyobb, mint 1023 |
2443 |
Hívásjelzés |
Megbízhatóság ellenőrzése |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
2445 |
Megbízhatóság-ellenőrzési szolgáltatás biztosítása a végpontok számára |
CTI |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
2748 |
Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
Biztonságos CTI |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
2749 |
Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
LDAP globális katalógus |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
3268 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
LDAP globális katalógus |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
3269 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
CAPF szolgáltatás |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
3804 |
Hitelesítésszolgáltatói proxy funkció (CAPF) figyelőportja helyileg jelentős tanúsítványok (LSC) IP-telefonok számára történő kiállításához |
SIP |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
5060 |
Hívásjelzés |
SIP |
TCP |
Egységes CM |
Egységes CM, átjáró |
Nagyobb, mint 1023 |
5060 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
5061 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Egységes CM |
Egységes CM, átjáró |
Nagyobb, mint 1023 |
5061 |
Hívásjelzés |
SIP (OAUTH) |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
5090 |
Hívásjelzés |
XMPP |
TCP |
Jabber kliens |
Cisco IM&P |
Nagyobb, mint 1023 |
5222 |
Csevegés és jelenlét |
HTTP |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
6970 |
Konfiguráció és rendszerképek letöltése végpontokra |
HTTPS |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
6971 |
Konfiguráció és rendszerképek letöltése végpontokra |
HTTPS |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
6972 |
Konfiguráció és rendszerképek letöltése végpontokra |
HTTP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb, mint 1023 |
7080 |
Hangposta-értesítések |
HTTPS |
TCP |
Jabber kliens |
CUCxn |
Nagyobb, mint 1023 |
7443 |
Biztonságos hangposta-értesítések |
HTTPS |
TCP |
Egységes CM |
Egységes CM |
Nagyobb, mint 1023 |
7501 |
Az Intercluster Lookup Service (ILS) használja a tanúsítványalapú hitelesítéshez |
HTTPS |
TCP |
Egységes CM |
Egységes CM |
Nagyobb, mint 1023 |
7502 |
Az ILS használja jelszóalapú hitelesítéshez |
IMAP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb, mint 1023 |
7993 |
IMAP TLS-en keresztül |
HTTP |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
8080 |
Korábbi végponti támogatás címtár URI-ja |
HTTPS |
TCP |
Böngésző, végpont |
UC alkalmazások |
Nagyobb, mint 1023 |
8443 |
Webes hozzáférés öngondoskodási és felügyeleti felületekhez, UDS |
HTTPS |
TCP |
Telefon |
Egységes CM |
Nagyobb, mint 1023 |
9443 |
Hitelesített névjegykeresés |
HTTP-k |
TCP |
Végpont |
Egységes CM |
Nagyobb, mint 1023 |
9444 |
Fejhallgató kezelési funkció |
Biztonságos RTP/SRTP |
UDP |
Egységes CM |
Telefon |
16384-től 32767-ig * |
16384-től 32767-ig * |
Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva) |
Biztonságos RTP/SRTP |
UDP |
Telefon |
Egységes CM |
16384-től 32767-ig * |
16384-től 32767-ig * |
Média (audio) - Zene várakoztatva, Angyali üdvözlő, Szoftveres konferenciahíd (hívásjelzés alapján nyitva) |
Kobrák |
TCP |
Kliens |
CUCxn |
Nagyobb, mint 1023 |
20532 |
Alkalmazáscsomag biztonsági mentése és helyreállítása |
ICMP |
ICMP |
Végpont |
UC alkalmazások |
n.a. |
n.a. |
Pingelés |
ICMP |
ICMP |
UC alkalmazások |
Végpont |
n.a. |
n.a. |
Pingelés |
DNS | UDP és TCP |
DNS-továbbító |
Dedikált példány DNS-kiszolgálói |
Nagyobb, mint 1023 |
53 |
Ügyfél helyszíni DNS-továbbítók a dedikált példány DNS-kiszolgálóira. További információkért lásd: DNS-követelmények . |
* Bizonyos speciális esetek nagyobb tartományt használhatnak. |
Dedikált példány – OTT-portok
Az ügyfelek és a partnerek a következő portot használhatják a mobil és távoli hozzáférés (MRA) beállításához:
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
BIZTONSÁGOS RTP/RTCP |
UDP |
Expressway-C-ben |
Kliens |
Nagyobb, mint 1023 |
36000-59999 |
Biztonságos média MRA- és B2B-hívásokhoz |
Inter-op SIP-trönk a többműszakos és a dedikált példány között (csak regisztrációalapú trönk esetében)
A portok következő listáját engedélyezni kell az ügyfél tűzfalán a többfeladatos és a dedikált példány közötti regisztrációs alapú SIP-trönk kapcsolathoz.
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Több műszakos Webex Calling |
Kliens |
Nagyobb, mint 1023 |
8000-48198 |
Média a Webex Calling többfeladatos szolgáltatásból |
Dedikált példány – UCCX portok
Az ügyfelek és partnerek a portok alábbi listáját használhatják az UCCX konfigurálásához.
Protokoll |
TCP / UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
22 |
SFTP és SSH |
Informix |
TCP |
Ügyfél vagy kiszolgáló |
Uniós Vámkódex |
Nagyobb, mint 1023 |
1504 |
Contact Center Express adatbázisport |
SIP |
UDP és TCP |
SIP GW vagy MCRP szerver |
Uniós Vámkódex |
Nagyobb, mint 1023 |
5065 |
Kommunikáció távoli GW és MCRP csomópontokkal |
XMPP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
5223 |
Biztonságos XMPP-kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között |
Kábv |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
6999 |
Szerkesztő CCX alkalmazásokhoz |
HTTPS |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
7443 |
Biztonságos BOSH-kapcsolat a Finesse szerver és az ügynöki és felügyeleti asztalok között a HTTPS-en keresztüli kommunikációhoz |
HTTP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8080 |
Élő adatos jelentést készítő kliensek csatlakoznak egy socket.IO szerverhez |
HTTP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8081 |
Ügyfélböngésző, amely megpróbálja elérni a Cisco Unified Intelligence Center webes felületét |
HTTP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8443 |
Rendszergazdai GUI, RTMT, DB-hozzáférés SOAP-on keresztül |
HTTPS |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8444 |
A Cisco Unified Intelligence Center webes felülete |
HTTPS |
TCP |
Böngésző- és REST-ügyfelek |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8445 |
Biztonságos port a Finesse számára |
HTTPS |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8447 |
HTTPS – Unified Intelligence Center online súgó |
HTTPS |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
8553 |
Az egyszeri bejelentkezés (SSO) összetevői ehhez a felülethez férnek hozzá a Cisco IdS működési állapotának megismeréséhez. |
HTTP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
9080 |
Azok az ügyfelek, amelyek HTTP-eseményindítókhoz vagy dokumentumokhoz / kérésekhez / nyelvtanokhoz / élő adatokhoz próbálnak hozzáférni. |
HTTPS |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
9443 |
Biztonságos port, amely a HTTPS-eseményindítókhoz hozzáférni próbáló ügyfelekre való reagáláshoz használatos |
TCP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
12014 |
Ez az a port, ahol az élő adatos jelentést készítő kliensek csatlakozhatnak a socket.IO szerverhez |
TCP |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
12015 |
Ez az a port, ahol az élő adatos jelentést készítő kliensek csatlakozhatnak a socket.IO szerverhez |
CTI |
TCP |
Kliens |
Uniós Vámkódex |
Nagyobb, mint 1023 |
12028 |
Harmadik féltől származó CTI kliens a CCX felé |
RTP(Média) |
TCP |
Végpont |
Uniós Vámkódex |
Nagyobb, mint 1023 |
Nagyobb, mint 1023 |
Az adathordozó-port szükség szerint dinamikusan nyílik meg |
RTP(Média) |
TCP |
Kliens |
Végpont |
Nagyobb, mint 1023 |
Nagyobb, mint 1023 |
Az adathordozó-port szükség szerint dinamikusan nyílik meg |
Ügyfélbiztonság
A Jabber és a Webex biztonságossá tétele a SIP OAuth segítségével
A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth vegyes móddal vagy anélkül történő működését a Cisco Unified CM 12.5 (1), a Jabber 12.5 és az Expressway X12.5 vezette be.
A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági profilban, amely lehetővé teszi az LSC/CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Administrative XML Web Service (AXL) API-t használják a Cisco Unified CM tájékoztatására az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány érvényesítésére kölcsönös TLS-kapcsolat létrehozásakor.
A SIP OAuth lehetővé teszi az adathordozók és a jelek titkosítását végponti tanúsítvány (LSC) nélkül.
A Cisco Jabber efemer portokat, valamint biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port egy nem biztonságos port a HTTP-n keresztüli letöltéshez.
További részletek a SIP OAuth konfigurációról: SIP OAuth mód.
DNS-követelmények
A dedikált példány esetében a Cisco az egyes régiókban a következő formátumban biztosítja az FQDN-t a szolgáltatáshoz: ..wxc-di.webex.com például xyz.amer.wxc-di.webex.com.
Az "ügyfél" értéket a rendszergazda biztosítja az Első beállítás varázsló (FTSW) részeként. További információ: Dedikált példányszolgáltatás aktiválása.
Az FQDN DNS-rekordjainak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgálójáról, hogy támogassák a dedikált példányhoz csatlakozó helyszíni eszközöket. A feloldás megkönnyítése érdekében az ügyfélnek konfigurálnia kell egy feltételes továbbítót ehhez a teljes tartománynévhez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatására mutat. A dedikált példány DNS-szolgáltatása regionális, és a dedikált példányhoz való társításon keresztül érhető el a következő IP-címek használatával, az alábbi táblázatban említettek szerint Dedikált példány DNS-szolgáltatási IP-címe.
Régió/DC | Dedikált példány DNS-szolgáltatásának IP-címe |
Példa feltételes továbbításra |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
között |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Bűn |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
Egyesült Királyság |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
férfi |
178.215.135.228 |
A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címeinél.
Amíg a feltételes továbbítás nem történik meg, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a társviszony-létesítési hivatkozásokon keresztül. A mobil- és távelérésen (MRA) keresztüli regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépíti.
Ha a Webex alkalmazást hívó lágy kliensként használja dedikált példányon, UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók hangszolgáltatási tartományához (VSD). További információ: UC Manager profilok a Cisco Webex Control Hubban. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét végfelhasználói beavatkozás nélkül.
A hangszolgáltatás tartománya a partner hozzáférési dokumentumának részeként lesz megadva az ügyfélnek, miután a szolgáltatás aktiválása befejeződött.
Helyi útválasztó használata a telefon DNS-feloldásához
Olyan telefonok esetében, amelyek nem férnek hozzá a vállalati DNS-kiszolgálókhoz, lehetőség van a helyi Cisco útválasztó használatára a DNS-kérések átirányítására a dedikált példány felhőjének DNS-ébe. Ez megszünteti a helyi DNS-kiszolgáló telepítésének szükségességét, és teljes DNS-támogatást biztosít, beleértve a gyorsítótárazást is.
Mintakonfiguráció :
!
ip dns-kiszolgáló
ip név szerver
!
Ebben az üzembe helyezési modellben a DNS-használat a telefonokra jellemző, és csak az FQDN-ek feloldására használható az ügyfelek dedikált példányának tartományával.
Hivatkozások
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Biztonsági téma: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Biztonsági útmutató a Cisco Unified Communications Manager számára: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html