A dedikált példányra vonatkozó hálózati követelmények
A Webex Calling dedikált példánya a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia által működtetett Cisco Cloud Calling portfólió része. A Dedikált példány hang-, videó-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan kapcsolódnak a Dedikált példányhoz.
Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal és a proxy biztonsági rendszergazdáknak, akik Dedikált példányt kívánnak használni a szervezetükön belül. Ez a dokumentum elsősorban a dedikált példánymegoldás hálózati követelményeire és biztonságára összpontosít, beleértve a biztonságos fizikai hozzáférést, biztonságos hálózatot, biztonságos végpontokat és biztonságos Cisco UC alkalmazásokat biztosító funkciók és funkcionalitás rétegezett megközelítését.
Biztonsági áttekintés: Biztonság rétegekben
A dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:
Fizikai hozzáférés
Hálózat
Végpontok
UC-alkalmazások
A következő szakaszok leírják a biztonsági szinteket a célzott bevetésekben.
Fizikai biztonság
Fontos, hogy az Equinix Meet-Me Room helyszínei és a Cisco Dedikált Példány Adatközpont létesítményei fizikai biztonságot kapjanak. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások indíthatók, mint például a szolgáltatás megszakadása az ügyfél kapcsolóinak kikapcsolásával. A fizikai hozzáféréssel a támadók hozzáférhetnek a szervereszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés a kifinomultabb támadásokat is megkönnyíti, mint például az ember a középsőben támadásokat, ezért kritikus a második biztonsági réteg, a hálózati biztonság.
Az UC-alkalmazásokat tároló célzott példányadatközpontokban önkódoló meghajtókat használnak.
Az általános biztonsági gyakorlatokkal kapcsolatos további információkért tekintse meg a dokumentációt a következő címen: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Hálózati biztonság
A partnereknek biztosítaniuk kell, hogy minden hálózati elem biztosított legyen a dedikált példány infrastruktúrában (amely az Equinixen keresztül kapcsolódik). A partner felelőssége, hogy biztosítsa a biztonsági legjobb gyakorlatokat, mint például:
Külön VLAN a hang- és adatátvitelhez
Portbiztonság engedélyezése, amely korlátozza az egy portra engedélyezett MAC-CÍMEK számát a KAMERAASZTAL elárasztása ellen
IP-forrásvédelem a hamisított IP-címek ellen
A Dynamic ARP Inspection (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az indokolatlan ARP-t (GARP) a szabálysértések tekintetében (az ARP-hamisítás ellen)
802.1x korlátozza a hálózati hozzáférést a hozzárendelt VLAN eszközök hitelesítéséhez (a telefonok támogatják a 802-t.1x)
A szolgáltatás minőségének konfigurálása (QoS) a hangcsomagok megfelelő jelöléséhez
Tűzfalport-konfigurációk az egyéb forgalom blokkolására
Végpontok biztonsága
A Cisco végpontok támogatják az alapértelmezett biztonsági funkciókat, mint például az aláírt firmware, a biztonságos rendszerindítás (kiválasztott modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontoknak.
Emellett a partner vagy az ügyfél további biztonságot is engedélyezhet, mint például:
IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint például a Bővített mobilitás
Helyi szinten jelentős tanúsítványok (LSC-k) kiadása a hitelesítésszolgáltatói helyettesítési funkció (CAPF) vagy egy közhitelesítésszolgáltató (CA) részéről
Konfigurációs fájlok titkosítása
Adathordozó és jel titkosítása
Tiltsa le ezeket a beállításokat, ha nincsenek használatban: PC-port, PC Voice VLAN Access, ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol
A dedikált példány biztonsági mechanizmusainak bevezetése megakadályozza a telefonok és az Egységesített CM szerver személyazonosság-lopását, az adatok manipulálását és a hívójel / médiafolyam manipulálását.
Dedikált példány a hálózaton keresztül:
Hitelesített kommunikációs adatfolyamokat hoz létre és tart fenn
A fájl átvitele előtt digitálisan aláírja a fájlokat a telefonra
Titkosítja a médiafolyamokat és a hívásjelzést a Cisco egyesített IP telefonok között
A biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco egyesített IP telefonokhoz:
A telefon konfigurációs fájljainak aláírása
Telefonkonfigurációs fájl titkosításának támogatása
Https Tomcat-tel és más webes szolgáltatásokkal (MIDlets)
Az Egységesített CM 8.0 kiadás esetében ezek a biztonsági funkciók alapértelmezés szerint a megbízható tanúsítványok listája (CTL) kliens futtatása nélkül érhetők el.
Mivel a hálózatban nagyszámú telefon található, és az IP-telefonok memóriája korlátozott, a Cisco Unified CM a Trust Verification Service (TV-K) szolgáltatáson keresztül távoli megbízható áruházként működik, így a megbízható tanúsítványtárolót nem kell minden egyes telefonra elhelyezni. A Cisco IP telefonok CTL vagy ITL fájlokon keresztül nem tudnak aláírást vagy tanúsítványt ellenőrizni, ezért ellenőrzés céljából kapcsolatba lépnek a TV-kiszolgálóval. A központi vagyonkezelői boltot könnyebb kezelni, mint az egyes Cisco Unified IP-telefonok vagyonkezelői boltjait.
A TV-K lehetővé teszik a Cisco egyesített IP-telefonok számára az alkalmazásszerverek, például az EM-szolgáltatások, a címtár és a MIDlet hitelesítését a https létrehozása során.
A kezdeti biztonsághoz a kezdeti megbízhatósági lista (ITL) fájl használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkcióra ahhoz, hogy kifejezetten engedélyezve legyen. Az ITL-fájl automatikusan létrejön a fürt telepítésekor. Az Egységesített CM Triviális Fájlátviteli Protokoll (TFTP) szerver privát kulcsa az ITL fájl aláírására szolgál.
Amikor a Cisco Unified CM fürt vagy szerver nem biztonságos módban van, az ITL fájl letöltődik minden támogatott Cisco IP telefonra. Egy partner megtekintheti egy ITL fájl tartalmát a CLI paranccsal, admin:show itl.
A Cisco IP telefonoknak ITL fájlra van szükségük a következő feladatok elvégzéséhez:
Biztonságos kommunikáció a CAPF-fel, ami a konfigurációs fájl titkosításának támogatásának előfeltétele
Konfigurációs fájl aláírásának hitelesítése
Alkalmazáskiszolgálók, például EM-szolgáltatások, címtár és MIDlet hitelesítése a HTTPS TV-készülékkel történő létrehozása során
Az eszköz, a fájl és a szignálhitelesítés a megbízható tanúsítványok listájának (CTL) létrehozására támaszkodik, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco megbízható tanúsítványok listájának kliensét.
A CTL-fájl a következő szerverek vagy biztonsági tokenek bejegyzéseit tartalmazza:
Rendszergazda biztonsági token (SAST)
Cisco CallManager és Cisco TFTP szolgáltatások, amelyek ugyanazon a kiszolgálón futnak
Tanúsítványkiadói proxyfüggvény (CAPF)
TFTP-kiszolgáló (k)
ASA tűzfal
A CTL-fájl minden szerverhez tartalmaz egy szervertanúsítványt, egy nyilvános kulcsot, egy sorozatszámot, egy aláírást, egy kibocsátónevet, egy alanynevet, egy szerverfunkciót, egy DNS-nevet és egy IP-címet.
A CTL-lel ellátott telefonbiztonság a következő funkciókat kínálja:
TFTP letöltött fájlok (konfiguráció, területi beállítás, csengetési lista stb.) hitelesítése aláírási kulccsal
TFTP konfigurációs fájlok titkosítása aláírási kulccsal
Titkosított hívásjelzés IP-telefonokhoz
Titkosított híváshang (média) IP-telefonokhoz
A dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelátvitel alapja a Secure Skinny Client Control Protocol (SCCP) vagy Session Initiation Protocol (SIP), és a Transport Layer Security (TLS) segítségével titkosítható. Az adathordozó a végpontoktól/végpontokig valós idejű átviteli protokollon (RTP) alapul, és a Secure RTP (SRTP) használatával is titkosítható.
A vegyes mód engedélyezése az Unified CM-en lehetővé teszi a Cisco végpontjairól érkező és oda érkező jelzések és médiaforgalom titkosítását.
Biztonságos UC alkalmazások
A vegyes mód alapértelmezés szerint nincs engedélyezve a dedikált példányban.
A vegyes mód engedélyezése dedikált példányban lehetővé teszi a Cisco végpontjairól érkező és oda érkező jelzések és médiaforgalom titkosítását.
A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex kliensek számára egy új opciót adtunk hozzá, amely lehetővé teszi a SIP OAuth alapú jelzések és adathordozók titkosítását a vegyes mód / CTL helyett. Ezért az Unified CM 12.5(1) kiadásban a SIP OAuth és SRTP használható a Jabber vagy Webex kliensek jel- és adathordozóinak titkosítására. A vegyes mód engedélyezése továbbra is szükséges a Cisco IP telefonok és más Cisco végpontok esetében. Van egy terv a SIP OAuth támogatására 7800/8800 végponton egy későbbi kiadásban.
A Cisco Unity Connection a TLS porton keresztül csatlakozik az Unified CM-hez. Ha az eszköz biztonsági üzemmódja nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik az Unified CM-hez.
Az egységesített CM-hangüzenetportok és az SCCP-t futtató Cisco Unity eszközök, illetve az SCCP-t futtató Cisco Unity Connection eszközök biztonságának konfigurálásához a partner választhat egy biztonságos eszközbiztonsági módot a porthoz. Ha hitelesített hangposta-portot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (mindegyik eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangposta-portot választunk, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.
A biztonsági hangüzenet-portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Biztonság az SRST, Trunks, Gateways, CUBE/SBC számára
A Cisco Unified Survivable Remote Site Telephony (SRST) -engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a Cisco Unified CM dedikált példányon nem tudja teljesíteni a hívást.
A biztonságos SRST-kompatibilis átjárók saját aláírású tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat végez az Egységes CM Adminisztrációban, az Egységes CM TLS kapcsolatot használ a Tanúsítványszolgáltató szolgáltatással való hitelesítésre az SRST-kompatibilis átjárónál. Az Egységesített CM ezután letölti a tanúsítványt az SRST-kompatibilis átjáróról, és hozzáadja a tanúsítványt az Egységes CM adatbázishoz.
Miután a partner visszaállítja a függő eszközöket az Egységes CM Adminisztrációban, a TFTP szerver hozzáadja az SRST-kompatibilis átjáró tanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáró használatához.
Ajánlott, hogy a Cisco Unified CM-től a kimenő PSTN hívások vagy a Cisco Unified Border Element (CUBE) áthaladó átjárójáig tartó híváshoz biztonságos rönkök álljanak rendelkezésre.
Az SIP törzsek támogatják a biztonságos hívásokat mind a jel-, mind az adathordozók számára; a TLS biztosítja a jelzéstitkosítást, az SRTP pedig a média titkosítását.
A Cisco Unified CM és a CUBE közötti kommunikáció biztosítása
A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz A partnereknek/ügyfeleknek saját aláírású vagy CA aláírású tanúsítványokat kell használniuk.
Saját kezűleg aláírt bizonyítványok esetében:
A CUBE és a Cisco Unified CM saját aláírású tanúsítványokat generál
CUBE export tanúsítvány Cisco Unified CM
Cisco Unified CM export tanúsítvány A CUBE-BA
Hitelesítésszolgáltató által aláírt tanúsítványok esetében:
Az ügyfél kulcspárt hoz létre, és tanúsítványaláírási kérelmet (CSR) küld a hitelesítésszolgáltatónak (CA)
A CA aláírja a privát kulcsával, és létrehoz egy személyazonosító bizonyítványt
Az ügyfél telepíti a megbízható CA-gyökér- és közvetítői tanúsítványok listáját és a személyazonosító bizonyítványt
Távoli végpontok biztonsága
A mobil és távelérési (Mobile and Remote Access, MRA) végpontok esetében a jel- és adathordozók mindig titkosítva vannak az MRA végpontok és az autópálya csomópontok között. Ha az MRA végpontokhoz az Interaktív Kapcsolattartó Létesítmény (ICE) protokollt használják, akkor az MRA végpontok jelzése és média titkosítása szükséges. Az Expressway-C és a belső Unified CM szerverek, belső végpontok vagy más belső eszközök közötti jelzések és adathordozók titkosítása azonban vegyes üzemmódot vagy SIP OAuth-ot igényel.
A Cisco Expressway biztonságos tűzfalas átjárást és vonaloldali támogatást biztosít az Egységesített CM regisztrációhoz. Az Egységes CM mind mobil, mind helyszíni végpontok számára biztosítja a hívásvezérlést. A jelátvitel a távoli végpont és az egységesített CM közötti gyorsforgalmi úton halad át. A média áthalad az autópálya megoldáson, és közvetlenül a végpontok között továbbítódik. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.
Minden MRA megoldáshoz expressz és egységes CM szükséges, MRA-kompatibilis puha kliensekkel és/vagy fix végpontokkal. A megoldás opcionálisan magában foglalhatja az IM-et, a jelenlét-szolgáltatást és az egységkapcsolatot.
Protokoll összefoglaló
Az alábbi táblázat az Egységes CM megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.
Protokoll |
Biztonság |
Szolgáltatás |
|---|---|---|
SIP |
TLS |
Munkamenet létrehozása: Regisztrálás, meghívás stb. |
HTTPS |
TLS |
Bejelentkezés, Ellátás/Konfigurálás, Címtár, Vizuális hangposta |
Média |
SRTP |
Média: Hang-, videó- és tartalommegosztás |
XMPP |
TLS |
Azonnali üzenetküldés, jelenlét, Föderáció |
Az MRA-konfigurációval kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurációs beállítások
A dedikált példány rugalmasságot biztosít a Partnernek a szolgáltatások végső felhasználók számára történő testreszabásához a két napi konfiguráció teljes ellenőrzésével. Ennek eredményeként a Partner kizárólagos felelősséggel tartozik a Dedikált Példány szolgáltatás megfelelő konfigurálásáért a végfelhasználó környezete számára. Ide tartoznak többek között a következők:
Biztonságos/nem biztonságos hívások, biztonságos/nem biztonságos protokollok, például SIP/sSIP, http/https stb. kiválasztása és a kapcsolódó kockázatok megértése.
A dedikált példányban biztonságos SIP-ként nem konfigurált MAC címek esetén a támadó SIP-regisztrációs üzenetet küldhet az adott MAC-cím használatával, és SIP-hívásokat kezdeményezhet, ami autópályadíj-csalást eredményez. A feltétel az, hogy a támadó engedély nélkül regisztrálhatja SIP eszközét/szoftverét a dedikált példányban, ha tudja a dedikált példányban regisztrált eszköz MAC-címét.
Az autópálya-E hívásokra vonatkozó szabályzatokat, az átalakításra és a keresésre vonatkozó szabályokat úgy kell kialakítani, hogy megakadályozzák az autópályadíj-csalást. Az autópálya használatával elkövetett autópálya-csalások megelőzésével kapcsolatos további információkért tekintse meg az SRND Együttműködés rész C és E gyorsforgalmi út biztonság című szakaszát.
Tárcsázási terv konfigurálása annak biztosítására, hogy a felhasználók csak a megengedett célhelyeket tárcsázhassák, pl. tiltsa meg a belföldi/nemzetközi tárcsázást, a segélyhívásokat megfelelően irányítsa át stb. A korlátok tárcsázási terv segítségével történő alkalmazásával kapcsolatos további információkért lásd az Együttműködés SRND dial plan (Tárcsázási terv) című részét.
Tanúsítványkövetelmények biztonságos kapcsolatokhoz dedikált esetben
Dedikált példány esetén a Cisco biztosítja a domaint és aláírja az UC Alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) segítségével.
Dedikált példány – portszámok és protokollok
Az alábbi táblázatok a dedikált példányban támogatott portokat és protokollokat ismertetik. Az adott ügyfél számára használt portok az ügyfél telepítési módjától és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP kontra SIP), a meglévő helyszíni eszközöktől és attól függenek, hogy milyen szintű biztonságot kell biztosítani annak meghatározásához, hogy mely portokat kell használni az egyes telepítések során.
Dedikált eset – Ügyfélportok
Az ügyfelek számára rendelkezésre álló portokat - az Ügyfél telephelye és a Dedikált példány között - az 1. táblázat mutatja. Az alább felsorolt összes port a peering linkeken áthaladó ügyfélforgalom számára van fenntartva.
 |
Az SNMP-port csak CER-funkciókhoz támogatott, más harmadik fél felügyeleti eszközéhez nem. |
 |
Az 5063 és 5080 közötti portokat a Cisco más felhőintegrációk számára tartja fenn, a partner vagy az ügyfél rendszergazdák számára ajánlott, hogy ne használják ezeket a portokat konfigurációjukban. |
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
|---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UC-alkalmazások |
1023-nál nagyobb |
22 |
Adminisztráció |
LDAP |
TCP |
UC-alkalmazások |
Külső könyvtár |
1023-nál nagyobb |
389 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
HTTPS |
TCP |
Böngésző |
UC-alkalmazások |
1023-nál nagyobb |
443 |
Webhozzáférés az önellátó és adminisztratív felületekhez |
LDAP (BIZTONSÁGOS) |
TCP |
UC-alkalmazások |
Külső könyvtár |
1023-nál nagyobb |
636 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
SCCP |
TCP |
Végpont |
Egységes főminiszter, CUCxn |
1023-nál nagyobb |
2000 |
Hívásjelzés |
SCCP |
TCP |
Unified CM |
Egységes főminiszter, átjáró |
1023-nál nagyobb |
2000 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Végpont |
Egységes főminiszter, CUCxn |
1023-nál nagyobb |
2443 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Unified CM |
Egységes főminiszter, átjáró |
1023-nál nagyobb |
2443 |
Hívásjelzés |
Megbízhatóság ellenőrzése |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
2445 |
Megbízhatóság-ellenőrző szolgáltatás nyújtása a végpontokhoz |
CTI |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
2748 |
A CTI-alkalmazások (JTAPI/TSP) és a CTIManager közötti kapcsolat |
Biztonságos CTI |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
2749 |
Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső könyvtár |
1023-nál nagyobb |
3268 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső könyvtár |
1023-nál nagyobb |
3269 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
CAPF szolgáltatás |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
3804 |
Tanúsítványkiadói proxyfunkció (CAPF) figyelőport helyileg jelentős tanúsítványok (LSC) IP-telefonokra történő kiadásához |
SIP |
TCP |
Végpont |
Egységes főminiszter, CUCxn |
1023-nál nagyobb |
5060 |
Hívásjelzés |
SIP |
TCP |
Unified CM |
Egységes főminiszter, átjáró |
1023-nál nagyobb |
5060 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
5061 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Unified CM |
Egységes főminiszter, átjáró |
1023-nál nagyobb |
5061 |
Hívásjelzés |
SIP (OAUTH) |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
5090 |
Hívásjelzés |
XMPP |
TCP |
Jabber kliens |
Cisco IM&P |
1023-nál nagyobb |
5222 |
Azonnali üzenetküldés és -jelenlét |
HTTP |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
6970 |
Konfiguráció és képek letöltése végpontokba |
HTTPS |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
6971 |
Konfiguráció és képek letöltése végpontokba |
HTTPS |
TCP |
Végpont |
Unified CM |
1023-nál nagyobb |
6972 |
Konfiguráció és képek letöltése végpontokba |
HTTP |
TCP |
Jabber kliens |
CUCxn |
1023-nál nagyobb |
7080 |
Hangposta-értesítések |
HTTPS |
TCP |
Jabber kliens |
CUCxn |
1023-nál nagyobb |
7443 |
Biztonságos hangposta-értesítések |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023-nál nagyobb |
7501 |
Az Intercluster Lookup Service (ILS) által használt tanúsítványalapú hitelesítés |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023-nál nagyobb |
7502 |
Az ILS jelszóalapú hitelesítésre használja |
IMAP |
TCP |
Jabber kliens |
CUCxn |
1023-nál nagyobb |
7993 |
IMAP TLS felett |
HTTPS |
TCP |
Böngésző, végpont |
UC-alkalmazások |
1023-nál nagyobb |
8443 |
Webhozzáférés az önellátó és adminisztratív felületekhez, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
1023-nál nagyobb |
9443 |
Hitelesített névjegykeresés |
Biztonságos RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384-32767 * |
16384-32767 * |
Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (hívásjelzés alapján nyitott) |
Biztonságos RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384-32767 * |
16384-32767 * |
Média (audio) - Music On Hold, Annunciator, Software Conference Bridge (hívásjelzés alapján nyitott) |
ICMP |
ICMP |
Végpont |
UC-alkalmazások |
nincs adat |
nincs adat |
Pingelés |
ICMP |
ICMP |
UC-alkalmazások |
Végpont |
nincs adat |
nincs adat |
Pingelés |
* Bizonyos különleges esetekben használhat egy nagyobb tartományban. |
||||||
Dedikált példány – OTT portok
A következő portok listáját használhatják az ügyfelek és a partnerek a mobil és távelérési (MRA) beállításhoz:
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
|---|---|---|---|---|---|---|
BIZTONSÁGOS SIP |
TCP |
Végpont |
E gyorsforgalmi út |
1023-nál nagyobb |
5061 |
Biztonságos SIP-jelzés az MRA-regisztrációhoz és -hívásokhoz |
BIZTONSÁGOS SIP |
TCP |
Végpont/kiszolgáló |
E gyorsforgalmi út |
1023-nál nagyobb |
5062 |
Biztonságos SIP a B2B hívásokhoz |
BIZTONSÁGOS RTP/RTCP |
UDP |
Végpont/kiszolgáló |
E gyorsforgalmi út |
1023-nál nagyobb |
36000-59999 |
Biztonságos adathordozó MRA- és B2B-hívásokhoz |
HTTPS (BIZTONSÁGOS) |
TLS |
Kliens |
E gyorsforgalmi út |
1023-nál nagyobb |
8443 |
CUCM UDS és CUCXN REST MRA hívásokhoz |
XML-EK |
TLS |
Kliens |
E gyorsforgalmi út |
1023-nál nagyobb |
5222 |
IM és jelenlét |
FORDULJ MEG! |
UDP |
Jégkliens |
E gyorsforgalmi út |
1023-nál nagyobb |
3478 |
JÉG/KÁBÍTÁS/FORDULÁSI TÁRGYALÁS |
BIZTONSÁGOS RTP/RTCP |
UPD |
Jégkliens |
E gyorsforgalmi út |
1023-nál nagyobb |
24000-29999 |
FORDÍTSA EL a médiát a JÉG VISSZAESÉSÉHEZ |
Dedikált példány – UCCX-portok
A következő portok listáját az ügyfelek és a partnerek használhatják az UCCX konfigurálásához.
Protokoll |
TCP / UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
|---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
22 |
SFTP és SSH |
Informix |
TCP |
Ügyfél vagy kiszolgáló |
UCCX |
1023-nál nagyobb |
1504 |
Egységes CCX-adatbázisport |
SIP |
UDP és TCP |
SIP GW vagy MCRP szerver |
UCCX |
1023-nál nagyobb |
5065 |
Kommunikáció távoli GW és MCRP csomópontokkal |
XMPP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
5223 |
Biztonságos XMPP kapcsolat a Finesse szerver és az egyéni harmadik féltől származó alkalmazások között |
CVD |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
6999 |
CCX-alkalmazások szerkesztője |
HTTPS |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
7443 |
Biztonságos BOSH kapcsolat a Finesse szerver és az ügynöki és felügyelői asztalok között a HTTPS-en keresztüli kommunikációhoz |
HTTP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8080 |
Az élőadat-jelentő kliensek kapcsolódnak a socket.IO szerverhez |
HTTP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8081 |
Az ügyfélböngésző megpróbál hozzáférni a Cisco Egyesített Hírszerző Központ webes felületéhez |
HTTP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8443 |
Admin GUI, RTMT, DB hozzáférés SZAPPANNAL |
HTTPS |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8444 |
Cisco Egyesített Hírszerző Központ webes felület |
HTTPS |
TCP |
Böngésző és REST KLIENSEK |
UCCX |
1023-nál nagyobb |
8445 |
Biztonságos port a Finesse számára |
HTTPS |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8447 |
HTTPS - Egységes Hírszerzési Központ online súgó |
HTTPS |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
8553 |
Az egyszeri bejelentkezés (SSO) komponensei hozzáférnek ehhez az interfészhez, hogy megismerjék a Cisco IdS működési állapotát. |
HTTP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
9080 |
A HTTP-indítókat vagy dokumentumokat /kéréseket/nyelvárakat/ élő adatokat elérni kívánó ügyfelek. |
HTTPS |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
9443 |
Biztonságos port a HTTPS-indítókat elérni próbáló ügyfeleknek való válaszadáshoz |
TCP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
12014 |
Ez az a port, ahol az élőadat-jelentő kliensek csatlakozhatnak a socket.IO szerverhez |
TCP |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
12015 |
Ez az a port, ahol az élőadat-jelentő kliensek csatlakozhatnak a socket.IO szerverhez |
CTI |
TCP |
Kliens |
UCCX |
1023-nál nagyobb |
12028 |
Harmadik fél CTI kliense a CCX-hez |
RTP(adathordozó) |
TCP |
Végpont |
UCCX |
1023-nál nagyobb |
1023-nál nagyobb |
A médiaport szükség szerint dinamikusan nyitható |
RTP(adathordozó) |
TCP |
Kliens |
Végpont |
1023-nál nagyobb |
1023-nál nagyobb |
A médiaport szükség szerint dinamikusan nyitható |
Ügyfélbiztonság
Jabber és Webex biztosítása SIP OAuth segítségével
A Jabber és a Webex kliensek OAuth tokennel kerülnek hitelesítésre a lokálisan szignifikáns tanúsítvány (LSC) helyett, amely nem követeli meg a hitelesítésszolgáltatói proxy funkció (CAPF) engedélyezését (az MRA esetében is). A SIP OAuth munka vegyes üzemmóddal vagy anélkül a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5 szabványban került bevezetésre.
A Cisco Unified CM 12.5-ben van egy új opciónk a Telefon biztonsági profilban, amely lehetővé teszi a titkosítást LSC/CAPF nélkül, egyetlen Transport Layer Security (TLS) + OAuth token használatával a SIP REGISZTERBEN. Az Expressway-C csomópontok az Adminisztratív XML Web Service (AXL) API segítségével tájékoztatják a Cisco Unified CM-t az SN/SAN-RÓL a tanúsítványukban. A Cisco Unified CM ezeket az információkat arra használja, hogy érvényesítse az EX-C tanúsítványt a kölcsönös TLS kapcsolat létrehozásakor.
A SIP OAuth végponti tanúsítvány (LSC) nélküli adathordozó- és jeltitkosítást tesz lehetővé.
A Cisco Jabber efemer portokat és 6971-es és 6972-es portokat használ https kapcsolaton keresztül a TFTP szerverhez a konfigurációs fájlok letöltéséhez. A 6970-es port nem biztonságos port HTTP-n keresztüli letöltéshez.
További részletek a SIP OAuth konfigurációról: SIP OAuth mód.
DNS-követelmények
A dedikált példányhoz a Cisco biztosítja az FQDN-t a szolgáltatáshoz minden régióban a következő formátumban<customer>.<region>.wxc-di.webex.com, például: xyz.amer.wxc-di.webex.com.
Az ‘ügyfél’ értéket a rendszergazda adja meg az Első alkalommal történő beállítás varázsló (FTSW) részeként. További információkért lásd: Dedikált példányszolgáltatás aktiválása.
Az ehhez az FQDN-hez tartozó DNS rekordoknak feloldhatóknak kell lenniük az ügyfél belső DNS szerveréről, hogy támogassák a dedikált példányhoz kapcsolódó helyszíni eszközöket. A felbontás megkönnyítése érdekében az ügyfélnek egy feltételes továbbítót kell konfigurálnia ehhez az FQDN-hez a dedikált példány DNS szolgáltatásra mutató DNS szerverén. A dedikált példány DNS szolgáltatás regionális, és a peering segítségével elérhető a dedikált példányhoz, az alábbi táblázatban említett alábbi IP-címek használatával.
Régió/DC |
Dedikált DNS szolgáltatás IP-címe | Példa feltételes továbbításra |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
SIN |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címei esetében. |
Amíg a feltételes továbbítás meg nem történik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfelek belső hálózatáról a peering linkeken keresztül. A mobil és távelérési (MRA) regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges valamennyi külső DNS-rekordot a Cisco előre rendelkezésre bocsátja.
Amikor a Webex alkalmazást hívó szoftveres kliensként használja a Dedikált példányon, UC Manager-profilt kell konfigurálni a Vezérlőközpontban az egyes régiók Hangszolgáltatási Tartományához (VSD). További információ a Cisco Webex Control Hub UC Manager-profiljaiban található. A Webex alkalmazás a végfelhasználó beavatkozása nélkül képes lesz automatikusan megoldani az ügyfél Expressway Edge-jét.
|
A szolgáltatás aktiválásának befejezését követően a partner hozzáférési dokumentum részeként hangszolgáltatási domaint biztosítunk az ügyfél számára. |
Hivatkozások
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Biztonsági téma: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Biztonsági útmutató a Cisco Unified Communications Manager számára: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html