Ez a dokumentum elsősorban a dedikált példányok megoldásának hálózati és biztonsági követelményeire összpontosít, beleértve a biztonságos fizikai hozzáférést, biztonságos hálózatot, biztonságos végpontokat és biztonságos Cisco UC -alkalmazásokat biztosító szolgáltatások és funkciók rétegzett megközelítését.
A dedikált példány hálózati követelményei
A Webex Calling dedikált példány a Cisco Cloud Calling portfóliójának része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológiája hajt. A dedikált példány hang-, videó-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP -telefonok, mobileszközök és asztali kliensek funkcióival és előnyeivel, amelyek biztonságosan kapcsolódnak a dedikált példányhoz.
Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik a dedikált példányt szeretnék használni a szervezetükön belül.
Biztonsági áttekintés: Biztonság a rétegekben
Dedikált példány réteges megközelítést alkalmaz a biztonság érdekében. A rétegek a következők:
Fizikai hozzáférés
Hálózat
Végpontok
UC alkalmazások
A következő szakaszok ismertetik a biztonsági szinteket Dedikált példány telepítések.
Fizikai biztonság
Fontos az Equinix Meet-Me Room helyszíneinek és a Cisco fizikai biztonságának biztosítása Dedikált példány Az adatközpont szolgáltatásai. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások indíthatók, például az ügyfél kapcsolóinak áramkimaradása miatti szolgáltatáskimaradás. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, mint például a közbeékelődő támadásokat, ezért a második biztonsági réteg, a hálózati biztonság kritikus fontosságú.
Az öntitkosító meghajtók használatosak Dedikált példány UC-alkalmazásoknak otthont adó adatközpontok.
Az általános biztonsági gyakorlatokkal kapcsolatos további információkért olvassa el a következő helyen található dokumentációt: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Hálózatbiztonság
A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságosan be legyen kapcsolva Dedikált példány infrastruktúra (amely az Equinixen keresztül kapcsolódik). A partner felelőssége a bevált módszerek biztosítása, mint például:
Külön VLAN a hanghoz és az adathoz
Engedélyezze a Portbiztonságot, amely korlátozza a portonként engedélyezett MAC -címek számát a CAM-tábla elárasztása ellen
IP -forrás Védelem a meghamisított IP -címek ellen
A Dynamic ARP Inspection (DAI) a címfeloldási protokollt (ARP) és az ingyenes ARP (GARP) szabálysértéseket vizsgálja (az ARP-hamisítás ellen)
802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802-t.1x )
A szolgáltatásminőség (QoS) beállítása a hangcsomagok megfelelő jelöléséhez
A tűzfal olyan portkonfigurációkat biztosít, amelyek blokkolnak minden más forgalmat
Végpontok biztonsága
A Cisco -végpontok támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt firmware, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.
Ezenkívül egy partner vagy ügyfél további biztonságot is engedélyezhet, például:
IP-telefon titkosítása (HTTPS-en keresztül) az olyan szolgáltatásokhoz, mint az Extension Mobility
Helyileg jelentős tanúsítványok (LSC) kiadása a hitelesítésszolgáltatói proxyfunkció (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)
Konfigurációs fájlok titkosítása
Média és jelzés titkosítása
Tiltsa le ezeket a beállításokat, ha nem használják őket: PC-port, PC Voice VLAN -hozzáférés, ingyenes ARP, web elérés, Beállítások gomb, SSH, konzol
Biztonsági mechanizmusok megvalósítása a Dedikált példány megakadályozza a telefonok és a Unified CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását, valamint a hívásjelzés/médiafolyam szabotázsát.
Dedikált példány hálózaton keresztül:
Hitelesített kommunikációs folyamokat hoz létre és tart fenn
Digitálisan aláírja a fájlokat a telefonra való átvitel előtt
Titkosítja a médiastreameket és a hívásjelzéseket a Cisco Unified IP -telefonok között
A Biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP -telefonokhoz:
A telefonkonfiguráció fájlok aláírása
A telefonkonfiguráció fájlok titkosításának támogatása
HTTPS a Tomcat alkalmazással és más web (MIDletek)
A Unified CM 8.0 későbbi verziójában ezek a biztonsági szolgáltatások alapértelmezés szerint a CTL(Certificate Trust List) kliens futtatása nélkül állnak rendelkezésre.
Mivel nagyszámú telefon van egy hálózatban, és az IP -telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli megbízhatósági tárolóként működik a Trust Verification Service (TVS) révén, így nem kell megbízhatósági igazolás tárolót elhelyezni minden telefonon. A Cisco IP -telefonok felveszik a kapcsolatot a TVS -kiszolgálóval ellenőrzés céljából, mert nem tudnak CTL vagy ITL-fájlokon keresztül ellenőrizni az aláírást vagy a tanúsítványt. Egy központi bizalmi tárolóval könnyebben kezelhető, mintha az egyes Cisco Unified IP-telefon lenne.
A TVS lehetővé teszi a Cisco Unified IP -telefonok számára az alkalmazáskiszolgálók, például az EM -szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.
A kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonság, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkciónak kifejezetten engedélyezésére. Az ITL fájl automatikusan létrejön a fürt telepítésekor. A Unified CM Trivial File Transfer Protocol (TFTP) szerver privát kulcsát használják az ITL fájl aláírására.
Amikor a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos mód van, az ITL fájl minden támogatott Cisco IP-telefon letöltődik. A partner az ITL-fájlok tartalmát a CLI-parancs tekintheti meg, admin:show itl.
A Cisco IP -telefonoknak az ITL fájlra van szükségük a következő feladatok elvégzéséhez:
Biztonságos kommunikáció a CAPF, amely előfeltétele a konfigurációs fájl titkosításának támogatásának
Hitelesítse a konfigurációs fájl aláírását
Alkalmazáskiszolgálók, például EM -szolgáltatások, címtár és MIDlet hitelesítése a HTTPS TVS -t használó létrehozása során
Az eszköz-, fájl- és jelzés-hitelesítés a tanúsítvány-bizalmi lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco Certificate Trust List klienst.
A CTL-fájl a következő kiszolgálókhoz vagy biztonsági tokenekhez tartalmaz bejegyzéseket:
Rendszergazdai biztonsági token (SAST)
Az ugyanazon a kiszolgálón futó Cisco CallManager és Cisco TFTP szolgáltatások
Certificate Authority -szolgáltató proxy funkció (CAPF)
TFTP szerver(ek)
ASA-tűzfal
A CTL-fájl tartalmaz egy kiszolgálótanúsítvány, nyilvános kulcsot , termékszám, aláírást , kibocsátó nevét , alany nevét , kiszolgálófunkciót , DNS nevet és IP-cím az egyes kiszolgálókhoz.
A CTL telefonbiztonság a következő funkciókat biztosítja:
A TFTP segítségével letöltött fájlok hitelesítése (konfiguráció, területi beállítás, csengőlista stb.) aláíró kulccsal
TFTP konfigurációs fájlok titkosítása aláíró kulccsal
Titkosított hívásjelzés IP -telefonokhoz
Titkosított híváshang (média) IP -telefonokhoz
Dedikált példány végpont regisztrációt és hívásfeldolgozás biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) alapul, és a Transport Layer Security (TLS) (TLS) segítségével titkosítható. A végpontokhoz/végpontokhoz érkező adathordozók valós idejű szállítási protokollon (RTP) alapulnak, és biztonságos RTP (SRTP) használatával is titkosíthatók.
A vegyes mód engedélyezése a Unified CM -en lehetővé teszi a Cisco -végpontok és azok felé irányuló jelzés- és médiaforgalom titkosítását.
Biztonságos UC-alkalmazások
A Vegyes mód alapértelmezetten engedélyezve van a következőben: Dedikált példány .
Vegyes mód engedélyezése a következőben: Dedikált példány lehetővé teszi a Cisco -végpontok felől érkező és oda érkező jelzés- és médiaforgalom titkosításának végrehajtását.
A Cisco Unified CM 12.5(1) kiadása egy új opcióval bővült a Jabber és Webex kliensek számára, amelyek lehetővé teszik a jelzések és a média titkosítását SIP OAuth alapján a kevert módú/ CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a jelzések és a média titkosításának engedélyezésére a Jabber vagy Webex ügyfelek számára. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP -telefonokhoz és más Cisco -végpontokhoz. A tervek szerint egy jövőbeli kiadásban hozzáadják a SIP OAuth-támogatást a 7800/8800 végpontokhoz.
A Cisco Unity Connection a TLS porton keresztül kapcsolódik a Unified CM -hez. Ha az eszköz biztonsági módja nem biztonságos, a Cisco Unity Connection az SCCP porton keresztül csatlakozik a Unified CM -hez.
Az SCCP protokollt futtató Unified CM hangüzenet-küldő portok és Cisco Unity eszközök vagy az SCCP futtató Cisco Unity Connection eszközök biztonságának konfigurálásához a partnerek biztonságos SCCP módot választhatnak a porthoz. Ha hitelesített hangpostaport választ, egy TLS kapcsolat nyílik meg, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaport választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamot küld az eszközök között.
A Biztonsági hangüzenet portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Biztonság az SRST-hez, trönkekhez, átjárókhoz, CUBE/SBC-hez
A Cisco Unified Survivable Remote Site Telephony (SRST) engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat tesz lehetővé, ha a Cisco Unified CM be van kapcsolva. Dedikált példány nem tudja befejezni a hívást.
A biztonságos SRST-kompatibilis átjárók önaláírt tanúsítvány tartalmaznak. Miután egy partner SRST -konfigurációs feladatokat végez a Unified CM Administration, a Unified CM TLS -kapcsolatot használ a Tanúsítványszolgáltató szolgáltatással való hitelesítéshez az SRST-engedélyezett átjáró. A Unified CM ezután lekéri a tanúsítványt az SRST-engedélyezett átjáró , és hozzáadja a Unified CM adatbázishoz.
Miután a partner alaphelyzetbe állította a függő eszközöket a Unified CM Administration, a TFTP -kiszolgáló hozzáadja az SRST-engedélyezett átjáró átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS -kapcsolaton keresztül lép kapcsolatba az SRST-engedélyezett átjáró.
A kimenő PSTN-hívások vagy a Cisco Unified Border Element (CUBE) elemen (CUBE) keresztülhaladó hívások esetén javasolt biztonságos fővonalak használata a Cisco Unified CM -ből az átjáró felé irányuló hívásokhoz.
A SIP trönkök támogatni tudják a biztonságos hívásokat mind a jelzés, mind a média területén; A TLS biztosítja a jelzések titkosítását, az SRTP pedig a média titkosítását.
Kommunikáció biztonsága a Cisco Unified CM és a CUBE között
A Cisco Unified CM és a CUBE közötti biztonságos kommunikáció érdekében a partnereknek/ügyfeleknek vagy önaláírt tanúsítvány vagy CA által aláírt tanúsítványt kell használniuk.
Önaláírt tanúsítványok esetén:
A CUBE és a Cisco Unified CM önaláírt tanúsítványokat állít elő
A CUBE tanúsítványt exportál a Cisco Unified CM -be
A Cisco Unified CM tanúsítványt exportál a CUBE-be
CA által aláírt tanúsítványok esetén:
Az ügyfél létrehoz egy kulcspárt, és tanúsítvány-aláírási kérelmet (CSR) küld a Certificate Authority -szolgáltatónak (CA)
A hitelesítésszolgáltató aláírja a titkos kulcsával, létrehozva ezzel egy identitástanúsítványt
Az ügyfél telepíti a megbízható legfelső szintű és közvetítői CA-tanúsítványok listáját, valamint az identitástanúsítványt
Biztonság a távoli végpontokhoz
A mobil és Remote Access (MRA) végpontok esetén a jelzés és az adathordozó mindig titkosítva van az MRA-végpontok és az Expressway csomópontok között. Ha az Interactive Connectivity Establishment (ICE) protokollt használják az MRA-végpontokhoz, akkor az MRA-végpontok jelzés- és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM -kiszolgálók, belső végpontok vagy más belső eszközök közötti jelzések és adathordozók titkosítása azonban vegyes módú vagy SIP OAuth-t igényel.
A Cisco Expressway biztonságos tűzfal bejárást és vonaloldali támogatást nyújt a Unified CM regisztrációkhoz. A Unified CM hívásvezérlés a mobil és a helyszíni végpontok számára is. A jelzés az Expressway megoldáson halad át a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül a végpontok között közvetítődik. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.
Minden MRA-megoldás Expressway és Unified CM szükséges, MRA-kompatibilis szoftveres kliensekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and jelenléti szolgáltatás és a Unity Connection szolgáltatást.
Protokoll-összefoglaló
A következő táblázat a Unified CM megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.
Protokoll |
Biztonság |
Szolgáltatás |
|---|---|---|
SIP |
TLS |
Alkalom létrehozása: Regisztráció, Meghívás stb. |
HTTPS |
TLS |
Bejelentkezés, üzembe helyezés/konfiguráció, címtár, vizuális hangposta |
Média |
SRTP |
Média: Hang, videó, tartalommegosztás |
XMPP |
TLS |
Azonnali Üzenetküldés, Jelenlét, Összevonás |
Az MRA-konfigurációval kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurációs beállítások
A Dedikált példány rugalmasságot biztosít a Partner számára, hogy a végfelhasználók számára testre szabhassa a szolgáltatásokat a második napi konfigurációk teljes körű vezérlésével. Ennek eredményeként a Partner kizárólagos felelőssége a megfelelő konfigurációért Dedikált példány szolgáltatás a végfelhasználói környezet számára. Ez magában foglalja, de nem kizárólagosan:
A biztonságos/nem biztonságos hívások, a biztonságos/nem biztonságos protokollok, például a SIP/sSIP, http/https stb. kiválasztása, valamint a kapcsolódó kockázatok megértése.
Minden olyan MAC -cím esetén, amely nincs biztonságosként beállítva – SIP -bemenet Dedikált példány , a támadó SIP -regiszter üzenetet küldhet az adott MAC-cím használatával, és SIP -hívásokat kezdeményezhet, ami díjcsalást eredményezhet. Ennek feltétele, hogy a támadó regisztrálhassa a SIP-eszköz/szoftverét Dedikált példány engedély nélkül, ha ismerik egy beregisztrált eszköz MAC-cím Dedikált példány .
Az Expressway-E hívási szabályzatait, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák a díjcsalást. Az Expressways útdíjcsalás megelőzésével kapcsolatos további információkért olvassa el a Biztonság Expressway C és Expressway-E esetében című részét Együttműködés SRND .
A tárcsázási terv konfigurációja annak biztosítása érdekében, hogy a felhasználók csak az engedélyezett célhelyeket tárcsázhassák, pl.: belföldi/nemzetközi tárcsázás tiltása, a segélyhívások megfelelően vannak irányítva stb. A tárcsázási terv használatával kapcsolatos korlátozások alkalmazásáról bővebben itt olvashat: Tárcsázási terv Az Együttműködés SRND szakasza.
A dedikált példány biztonságos kapcsolatainak tanúsítványkövetelményei
A dedikált példányok esetében a Cisco biztosítja a tartományt, és írja alá az összes tanúsítványt az UC-alkalmazásokhoz egy nyilvános Certificate Authority (CA) segítségével.
Dedikált példány – Portszámok és protokollok
A következő táblázatok ismertetik a dedikált példányban támogatott portokat és protokollokat. Az adott ügyfélhez használt portok száma az Ügyfél telepítésétől és megoldásától függ. A protokollok az ügyfél preferenciáitól (SCCP vs SIP), a meglévő helyszíni eszközöktől és attól függ, hogy milyen biztonsági szintre kell meghatározni, hogy mely portokat kell használni az egyes telepítésekben.
 |
A dedikált példány nem engedélyezi a hálózati címfordítást (NAT) a végpontok és a Unified CM között, mivel egyes hívásfolyamat-szolgáltatások nem működnek, például hívás közben funkció. |
Dedikált példány – Ügyfélportok
Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között az 1. táblázatban láthatók. Dedikált példány ügyfélportok . Az összes alább felsorolt port a peering hivatkozásokon áthaladó ügyfélforgalomra vonatkozik.
|
Az SNMP -port csak a CER funkciókhoz támogatott, más külső felektől származó megfigyelőeszköz nem. |
 |
Az 5063 és 5080 közötti tartományba eső portokat a Cisco más felhőintegráció számára fenntartja, a partner- vagy ügyfél-rendszergazdáknak ajánlott, hogy ne használják ezeket a portokat a konfigurációkban. |
Protokoll |
TCP/UDP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
|---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UC alkalmazások |
Nagyobb mint 1023 |
22 |
Felügyelet |
TFTP |
UDP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
69 |
Régi végpont támogatás |
LDAP |
TCP |
UC alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
389 |
Címtár szinkronizálás az ügyfél LDAP -jével |
HTTPS |
TCP |
Böngésző |
UC alkalmazások |
Nagyobb mint 1023 |
443 |
web hozzáférés az önkiszolgáló és adminisztrációs felületekhez |
Kimenő levelek (BIZTONSÁGOS) |
TCP |
UC-alkalmazás |
CUCxn |
Nagyobb mint 1023 |
587 |
Biztonságos üzenetek létrehozására és küldésére szolgál bármely kijelölt címzettnek |
LDAP (BIZTONSÁGOS) |
TCP |
UC alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
636 |
Címtár szinkronizálás az ügyfél LDAP -jével |
H323 |
TCP |
Átjáró |
Unified CM |
Nagyobb mint 1023 |
1720 |
Hívásjelzés |
H323 |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
1720 |
Hívásjelzés |
SCCP |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
2000 |
Hívásjelzés |
SCCP |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
2000 |
Hívásjelzés |
MGCP |
UDP |
Átjáró |
Átjáró |
Nagyobb mint 1023 |
2427 |
Hívásjelzés |
MGCP Blackhaul |
TCP |
Átjáró |
Unified CM |
Nagyobb mint 1023 |
2428 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
2443 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
2443 |
Hívásjelzés |
Bizalom ellenőrzése |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2445 |
Megbízhatóság-ellenőrzési szolgáltatás nyújtása a végpontoknak |
CTI |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2748 |
Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
Biztonságos CTI |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2749 |
Biztonságos kapcsolat a CTI -alkalmazások (JTAPI/TSP) és a CTIManager között |
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
3268 |
Címtár szinkronizálás az ügyfél LDAP -jével |
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
3269 |
Címtár szinkronizálás az ügyfél LDAP -jével |
CAPF szolgáltatás |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
3804 |
Certificate Authority -szolgáltató proxy funkció (CAPF) figyelő port a helyileg jelentős tanúsítványok (LSC) IP telefonok számára történő kiadásához |
SIP |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
5060 |
Hívásjelzés |
SIP |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
5060 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
5061 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
5061 |
Hívásjelzés |
SIP (OAUTH) |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
5090 |
Hívásjelzés |
XMPP |
TCP |
Jabber kliens |
Cisco IM&P |
Nagyobb mint 1023 |
5222 |
Azonnali Üzenetküldés és jelenlét |
HTTP |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6970 |
Konfiguráció és képek letöltése a végpontokra |
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6971 |
Konfiguráció és képek letöltése a végpontokra |
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6972 |
Konfiguráció és képek letöltése a végpontokra |
HTTP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7080 |
Hangposta értesítések |
HTTPS |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7443 |
Biztonságos hangposta-értesítések |
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
7501 |
Az fürtök közötti keresőszolgáltatás (ILS) által használt tanúsítvány alapú hitelesítéshez |
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
7502 |
Az ILS használja a jelszó alapú hitelesítéshez |
IMAP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7993 |
IMAP TLS felett |
HTTP |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
8080 |
Címtár- URI a régi végpontok támogatásához |
HTTPS |
TCP |
Böngésző, végpont |
UC alkalmazások |
Nagyobb mint 1023 |
8443 |
web hozzáférés önkiszolgáló és adminisztrációs felületekhez, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Nagyobb mint 1023 |
9443 |
Hitelesített névjegy keresés |
HTTPs |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
9444 |
Fejhallgató-kezelési funkció |
Biztonságos RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 – 32767 * |
16384 – 32767 * |
Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva) |
Biztonságos RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 – 32767 * |
16384 – 32767 * |
Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva) |
COBRAS |
TCP |
Kliens |
CUCxn |
Nagyobb mint 1023 |
20532 |
Biztonsági mentés és visszaállítás alkalmazáscsomag |
ICMP |
ICMP |
Végpont |
UC alkalmazások |
nincs adat |
nincs adat |
Pingelés |
ICMP |
ICMP |
UC alkalmazások |
Végpont |
nincs adat |
nincs adat |
Pingelés |
* Egyes speciális esetekben nagyobb hatótávolságot igényelhet. |
||||||
Dedikált példány – OTT portok
A következő portot használhatják a mobil- és Remote Access (MRA) ügyfelek és partnerek:
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
|---|---|---|---|---|---|---|
BIZTONSÁGOS RTP/ RTCP |
UDP |
Gyorsforgalmi út C |
Kliens |
Nagyobb mint 1023 |
36000-59999 |
Biztonságos média MRA és B2B hívásokhoz |
Dedikált példány – UCCX portok
A következő portlistát az Ügyfelek és Partnerek használhatják az UCCX konfigurálásához.
Protokoll |
TCP / UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
|---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
22 |
SFTP és SSH |
Informix |
TCP |
Kliens vagy Szerver |
UCCX |
Nagyobb mint 1023 |
1504 |
Unified CCX adatbázis port |
SIP |
UDP és TCP |
SIP GW vagy MCRP szerver |
UCCX |
Nagyobb mint 1023 |
5065 |
Kommunikáció távoli GW és MCRP csomópontokkal |
XMPP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
5223 |
Biztonságos XMPP -kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között |
CVD |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
6999 |
CCX alkalmazások szerkesztője |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
7443 |
Biztonságos BOSH-kapcsolat a Finesse szerver, valamint az ügynök és a felügyeleti asztal között a HTTPS-kapcsolaton keresztüli kommunikációhoz |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8080 |
Az élő adat jelentéskészítő ügyfelek a socket.IO kiszolgálóhoz csatlakoznak |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8081 |
Kliensböngésző próbál elérni a Cisco Unified Intelligence Center webinterfész |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8443 |
Admin grafikus felhasználói felület, RTCP, DB hozzáférés SOAP -on keresztül |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8444 |
Cisco Unified Intelligence Center webinterfész |
HTTPS |
TCP |
Böngésző és REST kliensek |
UCCX |
Nagyobb mint 1023 |
8445 |
Biztonságos port Finesse számára |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8447 |
HTTPS – Unified Intelligence Center online súgó |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8553 |
Az egyszeri bejelentkezési (SSO) összetevők hozzáférnek ehhez a felülethez, hogy megtudják a Cisco IdS működési állapotát. |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
9080 |
HTTP triggerekhez vagy dokumentumokhoz / promptokhoz / nyelvtanokhoz / élő adatok férni próbáló ügyfelek . |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
9443 |
Biztonságos port, amely arra szolgál, hogy válaszoljon a HTTPS triggerekhez elérni próbáló ügyfelek számára |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12014 |
Ez az a port, ahol az élő adatot jelentő kliensek csatlakozhatnak a socket.IO kiszolgálóhoz |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12015 |
Ez az a port, ahol az élő adatot jelentő kliensek csatlakozhatnak a socket.IO kiszolgálóhoz |
CTI |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12028 |
Harmadik féltől származó CTI -ügyfél a CCX-hez |
RTP(média) |
TCP |
Végpont |
UCCX |
Nagyobb mint 1023 |
Nagyobb mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
RTP(média) |
TCP |
Kliens |
Végpont |
Nagyobb mint 1023 |
Nagyobb mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
Ügyfélbiztonság
A Jabber és a Webex védelme SIP OAuth segítségével
A Jabber és Webex ügyfelek hitelesítése OAuth token segítségével történik a helyi jelentőségű tanúsítvány (LSC) helyett, amelyhez nincs szükség hitelesítésszolgáltatói proxyfunkció (CAPF) (az MRA esetében sem). A vegyes módban vagy anélkül működő SIP OAuth a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5 verziókban jelent meg.
A Cisco Unified CM 12.5-ös verziójában a Telefonbiztonsági profil egy új opcióval rendelkezik, amely lehetővé teszi az LSC/ CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Adminisztratív XML web (AXL) API segítségével tájékoztatják a Cisco Unified CM -et az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezen információk alapján ellenőrzi az Exp-C tanúsítványt a kölcsönös TLS kapcsolat létesítésekor.
A SIP OAuth végponttanúsítvány (LSC) nélkül teszi lehetővé a média- és jelzéstitkosítást.
A Cisco Jabber ideiglenes portokat, valamint a 6971-es és 6972-es biztonságos portokat használ HTTPS-kapcsolaton keresztül a TFTP -kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port HTTP-n keresztüli letöltés nem biztonságos.
További részletek a SIP OAuth konfigurációról: SIP OAuth mód .
DNS -követelmények
A dedikált példányok esetében a Cisco az alábbi formátumban biztosítja az FQDN-t a szolgáltatáshoz az egyes régiókban<customer> .<region> .wxc-di.webex.com például xyz.amer.wxc-di.webex.com .
A „customer” értéket a rendszergazda adja meg az kezdeti beállító varázsló (FTSW) részeként. További információkért lásd: Dedikált példány szolgáltatás aktiválása .
Az ehhez az FQDN-hez tartozó DNS -rekordoknak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgáló , hogy támogassák a helyszíni eszközök csatlakozását a dedikált példányhoz. A feloldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgáló , amely a dedikált példány DNS -szolgáltatására mutat. A dedikált példány DNS szolgáltatás regionális, és a dedikált példányhoz való társviszony-létesítésen keresztül érhető el az alábbi táblázatban felsorolt IP -címek használatával Dedikált példány DNS szolgáltatás IP címe .
Régió/DC |
Dedikált példány DNS szolgáltatás IP címe | Példa feltételes továbbításra |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP -címeknél. |
Amíg a feltételes továbbítás nem működik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a peering hivatkozásokon keresztül. Nincs szükség feltételes továbbításra a mobil és Remote Access (MRA) keresztüli regisztrációhoz, mivel az MRA megkönnyítéséhez szükséges összes külső DNS -rekordot a Cisco előre beállítja.
Ha a Webex alkalmazást hívó soft ügyfélként használja a dedikált példányon, egy UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók Voice Service tartományához (VSD). További információkért lásd: UC Manager profilok a Cisco Webex Control Hub . A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét a végfelhasználó beavatkozás nélkül.
|
A hangszolgáltatási tartományt a szolgáltatás aktiválásának befejezése után a partner-hozzáférési dokumentum részeként kapja meg az ügyfél. |
Hivatkozások
Cisco Collaboration 12.x Megoldásreferencia Hálózati tervek (SRND), Biztonság témakör: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Biztonsági útmutató a Cisco Unified Communications Manager alkalmazáshoz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
