A dedikált példány hálózati követelményei
A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológia hajt. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.
Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik dedikált példányt szeretnének használni a szervezetükön belül. Ez a dokumentum elsősorban a dedikált példánymegoldás hálózati követelményeire és biztonságára összpontosít, beleértve a biztonságos fizikai hozzáférést, biztonságos hálózatot, biztonságos végpontokat és biztonságos Cisco UC-alkalmazásokat biztosító funkciók és funkciók réteges megközelítését.
Biztonság – áttekintés: Biztonság rétegekben
A Dedikált példány réteges megközelítést használ a biztonság érdekében. A rétegek a következők:
Fizikai hozzáférés
Hálózat
Végpontok
UC-alkalmazások
A következő szakaszok a dedikált példányok központi telepítéseinek biztonsági rétegeit ismertetik.
Fizikai biztonság
Fontos, hogy fizikai biztonságot nyújtsunk az Equinix Meet-Me Room helyszíneken és a Cisco dedikált példány adatközponti létesítményeiben. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások, például szolgáltatásmegszakítások kezdeményezhetők az ügyfél kapcsolóinak áramellátásának leállításával. Fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés is megkönnyíti a kifinomultabb támadásokat, például az ember-közép támadásokat, ezért a második biztonsági réteg, a hálózati biztonság kritikus.
Az öntitkosító meghajtókat az UC-alkalmazásokat tároló dedikált példány adatközpontokban használják.
Az általános biztonsági gyakorlatról további információt az alábbi helyen található dokumentációban talál: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Hálózati biztonság
A partnereknek biztosítaniuk kell, hogy az összes hálózati elem a dedikált példány infrastruktúrájában legyen biztosítva (amely az Equinixen keresztül csatlakozik). A partner felelőssége, hogy biztosítsa a biztonsági bevált gyakorlatokat, mint például:
Külön VLAN a hanghoz és az adatokhoz
Portbiztonság engedélyezése, amely korlátozza a portonként engedélyezett MAC-címek számát a CAM-táblák elárasztásával szemben
IP-forrásvédő a hamisított IP-címek ellen
A Dynamic ARP Inspection (DAI) megvizsgálja a címfeloldási protokollt (ARP) és az ingyenes ARP-t (GARP) a jogsértésekért (az ARP hamisítás ellen)
802.1x korlátozza a hálózati hozzáférést a hitelesített eszközökhöz a hozzárendelt VLAN-okon (a telefonok támogatják a 802-es számot.1x)
A szolgáltatás minőségének (QoS) beállítása a hangcsomagok megfelelő jelöléséhez
Tűzfalportok konfigurációi bármely más forgalom blokkolására
Végpontok biztonsága
A Cisco végpontok támogatják az alapértelmezett biztonsági szolgáltatásokat, például az aláírt belső vezérlőprogramot, a biztonságos rendszerindítást (kiválasztott modellek), a gyártó által telepített tanúsítványt (MIC) és az aláírt konfigurációs fájlokat, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.
Ezenkívül egy partner vagy ügyfél további biztonságot is engedélyezhet, például:
IP-telefonszolgáltatások titkosítása (HTTPS-en keresztül) olyan szolgáltatásokhoz, mint az Extension Mobility
Helyileg jelentős tanúsítványok (LSC-k) kibocsátása a hitelesítésszolgáltató proxyfüggvényétől (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)
Konfigurációs fájlok titkosítása
Adathordozó és jelátvitel titkosítása
Tiltsa le ezeket a beállításokat, ha nem használják őket: PC port, PC Voice VLAN Access, Ingyenes ARP, Web Access, Beállítások gomb, SSH, konzol
A dedikált példány biztonsági mechanizmusainak végrehajtása megakadályozza a telefonok és az egyesített CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását, valamint a hívásjelzést / médiafolyam-illetéktelen beavatkozást.
Dedikált példány a hálózaton keresztül:
Hitelesített kommunikációs adatfolyamok létrehozása és karbantartása
Fájlok digitális aláírása a fájl telefonra történő átvitele előtt
Titkosítja a Cisco Unified IP-telefonok közötti médiafolyamokat és hívásjeleket
A Biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP-telefonokhoz:
A telefonkonfigurációs fájlok aláírása
A telefonkonfigurációs fájltitkosítás támogatása
HTTPS a Tomcat és más webszolgáltatásokkal (MIDlets)
A Unified CM Release 8.0 később esetén ezek a biztonsági funkciók alapértelmezés szerint a megbízható tanúsítványok listájának (CTL) ügyfél futtatása nélkül érhetők el.
Mivel a hálózatban nagyszámú telefon található, és az IP-telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a Megbízhatóság-ellenőrző Szolgáltatáson (TVS) keresztül, így a tanúsítvány-bizalmi tárolót nem kell minden telefonon elhelyezni. A Cisco IP-telefonok ellenőrzés céljából kapcsolatba lépnek a TVS-kiszolgálóval, mert CTL- vagy ITL-fájlokon keresztül nem tudják ellenőrizni az aláírást vagy tanúsítványt. A központi bizalmi tároló használata könnyebben kezelhető, mint a bizalmi tároló minden Cisco Unified IP-telefonon.
A TVS lehetővé teszi a Cisco Unified IP-telefonok számára, hogy hitelesítsék az alkalmazáskiszolgálókat, például az EM-szolgáltatásokat, a könyvtárat és a MIDletet a HTTPS-telepítés során.
A kezdeti megbízhatósági lista (ITL) fájlja a kezdeti biztonsághoz használatos, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkcióra a kifejezetten engedélyezéshez. Az ITL-fájl automatikusan létrejön a fürt telepítésekor. Az ITL-fájl aláírásához a Unified CM Trivial File Transfer Protocol (TFTP) kiszolgáló személyes kulcsa használható.
Ha a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos módban van, az ITL-fájl minden támogatott Cisco IP-telefonon letöltődik. A partner megtekintheti az ITL-fájlok tartalmát a CLI, admin:show itl paranccsal.
A Cisco IP-telefonoknak a következő feladatok végrehajtásához szükségük van az ITL-fájlra:
Biztonságos kommunikáció a CAPF-fel, amely a konfigurációs fájl titkosításának támogatásának előfeltétele
A konfigurációs fájl aláírásának hitelesítése
Alkalmazáskiszolgálók, például EM-szolgáltatások, címtárak és MIDlet hitelesítése a HTTPS-telepítés során a TVS használatával
Az eszköz-, fájl- és jelhitelesítés a megbízható tanúsítványok listájának (CTL) fájljának létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco tanúsítvány megbízhatósági lista ügyfélprogramját.
A CTL-fájl a következő kiszolgálók vagy biztonsági jogkivonatok bejegyzéseit tartalmazza:
Rendszergazdai biztonsági jogkivonat (SAST)
Ugyanazon a kiszolgálón futó Cisco CallManager és Cisco TFTP szolgáltatások
Hitelesítésszolgáltató proxyfüggvénye (CAPF)
TFTP-kiszolgáló(k)
ASA tűzfal
A CTL-fájl tartalmaz egy kiszolgálótanúsítványt, nyilvános kulcsot, sorozatszámot, aláírást, kiállító nevét, tulajdonos nevét, kiszolgálófunkciót, DNS-nevet és IP-címet minden kiszolgálóhoz.
A CTL-lel ellátott telefonbiztonság a következő funkciókat biztosítja:
A TFTP által letöltött fájlok (konfiguráció, területi beállítás, gyűrűlista stb.) hitelesítése aláírási kulccsal
TFTP konfigurációs fájlok titkosítása aláírási kulccsal
Titkosított hívásjelezés IP-telefonokhoz
Titkosított hívási hang (adathordozó) IP-telefonokhoz
A Dedikált példány végpontregisztrációt és hívásfeldolgozást biztosít. A Cisco Unified CM és a végpontok közötti jelátvitel a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) protokollon alapul, és a Transport Layer Security (TLS) használatával titkosítható. A végpontokról/végpontokra mutató adathordozók valós idejű átviteli protokollon (RTP) alapulnak, és biztonságos RTP (SRTP) használatával is titkosíthatók.
A vegyes mód engedélyezése a Unified CM-en lehetővé teszi a Cisco végpontjairól érkező és oda irányuló jel- és médiaforgalom titkosítását.
Biztonságos UC alkalmazások
A vegyes mód alapértelmezés szerint nincs engedélyezve a Dedikált példányban .
A vegyes mód engedélyezése a Dedikált példányban lehetővé teszi a jel- és médiaforgalom titkosítását a Cisco végpontjairól és a Cisco végpontjaira.
A Cisco Unified CM 12.5(1) kiadásában a Jabber és a Webex kliensek számára új lehetőség került hozzáadásra a jelátvitel és a média SIP OAuth alapú titkosításának engedélyezésére a vegyes mód / CTL helyett. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a Jabber vagy Webex ügyfelek jelzésének és adathordozóinak titkosításának engedélyezésére. A Cisco IP-telefonok és más Cisco végpontok esetében továbbra is szükség van a vegyes mód engedélyezésére. A terv szerint a SIP OAuth támogatja a 7800/8800 végpontokat egy későbbi kiadásban.
A Cisco Unity Connection a TLS-porton keresztül csatlakozik az Egyesített CM-hez. Ha az eszköz biztonsági üzemmódja nem biztonságos, a Cisco Unity Connection az SCCP-porton keresztül csatlakozik az egyesített CM-hez.
Az SCCP-t futtató SCCP- vagy Cisco Unity-kapcsolati eszközöket futtató Unified CM hang-üzenetküldő portok és Cisco Unity-kapcsolatok biztonságának konfigurálásához a partner biztonságos eszközbiztonsági módot választhat a porthoz. Ha hitelesített hangpostaportot választ, megnyílik egy TLS-kapcsolat, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaportot választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamokat küld az eszközök között.
A Security Voice üzenetküldő portokról további információt a következő témakörökben talál: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST, Trunks, Gateways, CUBE/SBC biztonság
A Cisco Unified Survivable Remote Site Telephony (SRST) által engedélyezett átjáró korlátozott hívásfeldolgozási feladatokat biztosít, ha a Cisco Unified CM dedikált példányon nem tudja befejezni a hívást.
A biztonságos SRST-kompatibilis átjárók önaláírt tanúsítványt tartalmaznak. Miután egy partner SRST konfigurációs feladatokat hajt végre az Egyesített CM-felügyeletben, az Egyesített CM TLS-kapcsolatot használ az SRST-kompatibilis átjáró tanúsítványszolgáltató szolgáltatásával való hitelesítéshez. Az egyesített cm ezután lekéri a tanúsítványt az SRST-kompatibilis átjáróból, és hozzáadja a tanúsítványt az Egyesített CM-adatbázishoz.
Miután a partner visszaállította a függő eszközöket az Egyesített CM-felügyeletben, a TFTP-kiszolgáló hozzáadja az SRST-kompatibilis átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonnak. A biztonságos telefon ezután TLS-kapcsolatot használ az SRST-kompatibilis átjáróval való interakcióhoz.
Javasoljuk, hogy a Cisco Unified CM-től az átjáróhoz érkező híváshoz biztonságos törzsekkel rendelkezzen a kimenő PSTN-hívásokhoz vagy a Cisco Unified Border Element (CUBE) rendszeren keresztül történő áthaladáshoz.
A SIP törzsek támogatják a biztonságos hívásokat mind a jelzéshez, mind a médiához; A TLS jeltitkosítást, az SRTP pedig médiatitkosítást biztosít.
Kommunikáció biztosítása a Cisco Unified CM és a CUBE között
A Cisco Unified CM és a CUBE közötti biztonságos kommunikációhoz a partnereknek/ügyfeleknek önaláírt tanúsítványt vagy hitelesítésszolgáltató által aláírt tanúsítványokat kell használniuk.
Önaláírt tanúsítványok esetén:
A CUBE és a Cisco Unified CM önaláírt tanúsítványokat hoz létre
A CUBE tanúsítvány exportálása a Cisco Unified CM-be
A Cisco Unified CM tanúsítványt exportál a CUBE-ba
Hitelesítésszolgáltató által aláírt tanúsítványok esetén:
Az ügyfél létrehoz egy kulcspárt, és tanúsítványaláírási kérelmet (CSR) küld a hitelesítésszolgáltatónak (CA)
A hitelesítésszolgáltató a személyes kulccsal írja alá, létrehozva egy identitástanúsítványt
Az ügyfél telepíti a megbízható hitelesítésszolgáltatói gyökér- és közvetítőtanúsítványok listáját, valamint az identitástanúsítványt
Távoli végpontok biztonsága
A mobil- és távelérési (MRA) végpontok esetében a jelátvitel és az adathordozó mindig titkosítva van az MRA végpontok és az expressz autópálya-csomópontok között. Ha az INTERACTIVE Connectivity Establishment (ICE) protokollt használják az MRA-végpontokhoz, az MRA-végpontok jelzésére és médiatitkosítására van szükség. Az Expressway-C és a belső Egyesített CM-kiszolgálók, belső végpontok vagy más belső eszközök közötti jelátviteli és adathordozó titkosításához azonban vegyes módú vagy SIP OAuth szükséges.
A Cisco Expressway biztonságos tűzfal-áthaladást és vonaloldali támogatást biztosít az egyesített CM-regisztrációkhoz. Az egyesített cm hívásvezérlést biztosít mind a mobil, mind a helyszíni végpontok számára. A jelzés áthalad az Expressway megoldáson a távoli végpont és az Egyesített CM között. A média áthalad az Expressway megoldáson, és közvetlenül továbbítódik a végpontok között. Minden adathordozó titkosítva van az expressway-C és a mobil végpont között.
Minden MRA-megoldáshoz expressz és unified CM szükséges, MRA-kompatibilis soft kliensekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan magában foglalhatja a csevegési és jelenléti szolgáltatást, valamint az Egységkapcsolatot.
Protokoll összefoglalása
Az alábbi táblázat az Egyesített CM-megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.
Protokoll |
Biztonság |
Szolgáltatás |
---|---|---|
SIP |
TLS |
Ülés létrehozása: Regisztráció, meghívás stb. |
HTTPS |
TLS |
Bejelentkezés, Kiépítés/konfiguráció, Könyvtár, Vizuális hangposta |
Média |
SRTP |
Média: Hang-, videó-, tartalommegosztás |
XMPP |
TLS |
Azonnali üzenetküldés, jelenlét, összevonás |
Az MRA-konfigurációval kapcsolatos további tudnivalókért tanulmányozza a következőket: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurációs beállítások
A dedikált példány rugalmasságot biztosít a Partner számára a végfelhasználók számára nyújtott szolgáltatások testreszabásához a második nap konfigurációinak teljes vezérlésével. Ennek eredményeként kizárólag a Partner felelős a dedikált példányszolgáltatás megfelelő konfigurálásáért a végfelhasználó környezetéhez. Ez magában foglalja, de nem kizárólagosan:
Biztonságos/nem biztonságos hívások, biztonságos/nem biztonságos protokollok, például SIP/sSIP, http/https stb. kiválasztása és a kapcsolódó kockázatok megértése.
A dedikált példányban nem biztonságos SIP-ként konfigurált MAC-címek esetében a támadó sip regiszter üzenetet küldhet az adott MAC-cím használatával, és SIP-hívásokat kezdeményezhet, ami útdíjcsaláshoz vezethet. A perquisite az, hogy a támadó engedély nélkül regisztrálhatja SIP-eszközét/szoftverét a dedikált példányban , ha ismeri a dedikált példányban regisztrált eszköz MAC-címét.
Az autópálya-E hívási szabályzatokat, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák az útdíjcsalásokat. Az autópálya-utakon történő útdíjcsalás megelőzésével kapcsolatos további információkért tekintse meg az Együttműködési SRND"C" és gyorsforgalmi út-E szakaszának biztonságát.
Tárcsázási terv konfigurációja annak biztosítása érdekében, hogy a felhasználók csak az engedélyezett rendeltetési helyeket tárcsázhassák, például tiltsák meg a nemzeti /nemzetközi tárcsázást, a segélyhívásokat megfelelően irányítják stb. A korlátozások tárcsázási csomag használatával történő alkalmazásáról további információt az Együttműködési SRND Tárcsázási terv című részében talál.
A dedikált példány biztonságos kapcsolataira vonatkozó tanúsítványkövetelmények
Dedikált példány esetén a Cisco biztosítja a tartományt, és aláírja az UC-alkalmazások összes tanúsítványát egy nyilvános hitelesítésszolgáltató (CA) használatával.
Dedikált példány – portszámok és protokollok
Az alábbi táblázatok a Dedikált példányban támogatott portokat és protokollokat ismertetik. Az adott ügyfélhez használt portok az Ügyfél üzembe helyezésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs SIP), a meglévő helyszíni eszközöktől és attól függnek, hogy milyen szintű biztonságot kell használni az egyes telepítések során.
Dedikált példány – ügyfélportok
Az ügyfelek számára elérhető portok – az Ügyfél telephelye és a Dedikált példány között – az 1 . táblázat dedikált példány ügyfélportjaibantalálhatók. Az alább felsorolt portok mindegyike a társviszony-kapcsolaton áthaladó ügyfélforgalomra szolgál.
Az SNMP-port csak a CER funkcióihoz támogatott, és más harmadik féltől származó felügyeleti eszközökhöz nem. |
Az 5063 és 5080 közötti portokat a Cisco más felhőintegrációk számára tartja fenn, a partner- vagy ügyféladminisztrátoroknak ajánlott, hogy ne használják ezeket a portokat a konfigurációikban. |
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UC-alkalmazások |
Nagyobb, mint 1023 |
22 |
Adminisztráció |
LDAP |
TCP |
UC-alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
389 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
HTTPS |
TCP |
Böngésző |
UC-alkalmazások |
Nagyobb, mint 1023 |
443 |
Webes hozzáférés öngondoskodási és felügyeleti felületekhez |
LDAP (BIZTONSÁGOS) |
TCP |
UC-alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
636 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
SCCP |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
2000 |
Hívásjelzés |
SCCP |
TCP |
Unified CM |
Egyesített CM, Átjáró |
Nagyobb, mint 1023 |
2000 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
2443 |
Hívásjelzés |
SCCP (BIZTONSÁGOS) |
TCP |
Unified CM |
Egyesített CM, Átjáró |
Nagyobb, mint 1023 |
2443 |
Hívásjelzés |
Megbízhatóság ellenőrzése |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
2445 |
Megbízhatóság-ellenőrzési szolgáltatás nyújtása végpontok számára |
CTI |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
2748 |
Kapcsolat CTI-alkalmazások (JTAPI/TSP) és CTIManager között |
Biztonságos CTI |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
2749 |
Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
LDAP globális katalógus |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
3268 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
LDAP globális katalógus |
TCP |
UC alkalmazások |
Külső könyvtár |
Nagyobb, mint 1023 |
3269 |
Címtár-szinkronizálás az ügyfél LDAP-jával |
CAPF szolgáltatás |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
3804 |
Hitelesítésszolgáltató proxyfunkciója (CAPF) figyelési portja a helyileg jelentős tanúsítványok (LSC) IP-telefonokra történő kiadásához |
SIP |
TCP |
Végpont |
Egységes CM, CUCxn |
Nagyobb, mint 1023 |
5060 |
Hívásjelzés |
SIP |
TCP |
Unified CM |
Egyesített CM, Átjáró |
Nagyobb, mint 1023 |
5060 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
5061 |
Hívásjelzés |
SIP (BIZTONSÁGOS) |
TCP |
Unified CM |
Egyesített CM, Átjáró |
Nagyobb, mint 1023 |
5061 |
Hívásjelzés |
SIP (OAUTH) |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
5090 |
Hívásjelzés |
XMPP |
TCP |
Jabber ügyfél |
Cisco csevegési és p |
Nagyobb, mint 1023 |
5222 |
Azonnali üzenetküldés és jelenlét |
HTTP |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
6970 |
Konfiguráció és képek letöltése végpontokra |
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
6971 |
Konfiguráció és képek letöltése végpontokra |
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb, mint 1023 |
6972 |
Konfiguráció és képek letöltése végpontokra |
HTTP |
TCP |
Jabber ügyfél |
CUCxn |
Nagyobb, mint 1023 |
7080 |
Hangposta-értesítések |
HTTPS |
TCP |
Jabber ügyfél |
CUCxn |
Nagyobb, mint 1023 |
7443 |
Biztonságos hangposta-értesítések |
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb, mint 1023 |
7501 |
Az Intercluster Searchup Service (ILS) által használt tanúsítványalapú hitelesítéshez |
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb, mint 1023 |
7502 |
Az ILS jelszóalapú hitelesítéshez használja |
IMAP |
TCP |
Jabber ügyfél |
CUCxn |
Nagyobb, mint 1023 |
7993 |
IMAP TLS-en keresztül |
HTTPS |
TCP |
Böngésző, Végpont |
UC-alkalmazások |
Nagyobb, mint 1023 |
8443 |
Webhozzáférés öngondoskodási és felügyeleti felületekhez, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
Nagyobb, mint 1023 |
9443 |
Hitelesített partnerkeresés |
Biztonságos RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384-től 32767-ig * |
16384-től 32767-ig * |
Média (audio) - Zene várakoztatva, Angyaliátor, Szoftverkonferencia híd (Hívásjelzés alapján megnyitva) |
Biztonságos RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384-től 32767-ig * |
16384-től 32767-ig * |
Média (audio) - Zene várakoztatva, Angyaliátor, Szoftverkonferencia híd (Hívásjelzés alapján megnyitva) |
ICMP |
ICMP |
Végpont |
UC-alkalmazások |
nincs adat |
nincs adat |
Pingelés |
ICMP |
ICMP |
UC-alkalmazások |
Végpont |
nincs adat |
nincs adat |
Pingelés |
* Bizonyos speciális esetekben lehet használni egy nagyobb tartományban. |
Dedikált példány – OTT-portok
Az Ügyfelek és partnerek mobil- és távelérési (MRA) beállításai a következő portlistát használhatják:
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
---|---|---|---|---|---|---|
BIZTONSÁGOS KORTY |
TCP |
Végpont |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
5061 |
Biztonságos SIP-jelátvitel MRA regisztrációhoz és hívásokhoz |
BIZTONSÁGOS KORTY |
TCP |
Végpont/kiszolgáló |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
5062 |
Biztonságos SIP B2B hívásokhoz |
BIZTONSÁGOS RTP/RTCP |
UDP |
Végpont/kiszolgáló |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
36000-59999 |
Biztonságos adathordozó MRA és B2B hívásokhoz |
HTTPS (BIZTONSÁGOS) |
TLS |
Kliens |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
8443 |
CUCM UDS és CUCxn REST MRA-hívásokhoz |
XML-EK |
TLS |
Kliens |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
5222 |
Csevegés és jelenlét |
FORDÍT |
UDP |
ICE-ügyfél |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
3478 |
ICE/STUN/TURN tárgyalás |
BIZTONSÁGOS RTP/RTCP |
UPD |
ICE-ügyfél |
E gyorsforgalmi út |
Nagyobb, mint 1023 |
24000-29999 |
KAPCSOLJA BE az adathordozót az ICE tartalékolásához |
Dedikált példány – UCCX-portok
Az ügyfelek és partnerek az alábbi portlistát használhatják az UCCX konfigurálásához.
Protokoll |
TCP / UCP |
Forrás |
Cél |
Forrásport |
Célport |
Cél |
---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
22 |
SFTP és SSH |
Informix |
TCP |
Ügyfél vagy kiszolgáló |
UCCX |
Nagyobb, mint 1023 |
1504 |
Egységes CCX adatbázisport |
SIP |
UDP és TCP |
SIP GW vagy MCRP kiszolgáló |
UCCX |
Nagyobb, mint 1023 |
5065 |
Kommunikáció távoli GW és MCRP csomópontokkal |
XMPP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
5223 |
Biztonságos XMPP-kapcsolat a Finesse-kiszolgáló és az egyéni, harmadik féltől származó alkalmazások között |
CVD |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
6999 |
Szerkesztő CCX-alkalmazásokhoz |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
7443 |
Biztonságos BOSH-kapcsolat a Finesse kiszolgáló és az ügynök- és felügyelőasztalok között a HTTPS-en keresztüli kommunikációhoz |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8080 |
Az élő adatszolgáltató ügyfelek csatlakoznak a szoftvercsatorna-hoz. I/O-kiszolgáló |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8081 |
Ügyfélböngésző megpróbálja elérni a Cisco Unified Intelligence Center webes felületét |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8443 |
Admin GUI, RTMT, DB hozzáférés SZAPPANON keresztül |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8444 |
Cisco Unified Intelligence Center webes felület |
HTTPS |
TCP |
Böngésző- és REST-ügyfelek |
UCCX |
Nagyobb, mint 1023 |
8445 |
Biztonságos port Finesse számára |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8447 |
HTTPS - Unified Intelligence Center online súgó |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
8553 |
Az egyszeri bejelentkezés (SSO) összetevői hozzáférhetnek ehhez a felülethez, hogy megismerjék a Cisco IdS működési állapotát. |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
9080 |
Http-eseményindítókhoz vagy dokumentumokhoz / kérik / nyelvtanokhoz / élő adatokhoz hozzáférni próbáló ügyfelek. |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
9443 |
A HTTPS-eseményindítókhoz hozzáférni próbáló ügyfeleknek válaszoló biztonságos port |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
12014 |
Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a szoftvercsatornához. I/O-kiszolgáló |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
12015 |
Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a szoftvercsatornához. I/O-kiszolgáló |
CTI |
TCP |
Kliens |
UCCX |
Nagyobb, mint 1023 |
12028 |
Harmadik félTŐL származó CTI-ügyfél a CCX-hez |
RTP(Média) |
TCP |
Végpont |
UCCX |
Nagyobb, mint 1023 |
Nagyobb, mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
RTP(Média) |
TCP |
Kliens |
Végpont |
Nagyobb, mint 1023 |
Nagyobb, mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
Ügyfélbiztonság
A Jabber és a Webex biztonságossá tétele a SIP OAuth-tal
A Jabber és a Webex ügyfelek hitelesítése OAuth-jogkivonaton keresztül történik egy helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel hitelesítést a hitelesítésszolgáltató proxyfunkciójának (CAPF) engedélyezéséhez (MRA esetében is). A vegyes móddal vagy anélkül működő SIP OAuth-ot a Cisco Unified CM 12.5(1), Jabber 12.5 és Expressway X12.5 modellek vezették be.
A Cisco Unified CM 12.5-ben van egy új lehetőségünk a Telefonbiztonsági Profilban, amely lehetővé teszi a titkosítást LSC / CAPF nélkül, egyetlen átviteli réteg biztonság (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok a Felügyeleti XML webszolgáltatás (AXL) API-t használják, hogy tájékoztassák a Cisco Unified CM-t az SN/SAN tanúsítványukról. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány ellenőrzésére a kölcsönös TLS-kapcsolat létrehozásakor.
A SIP OAuth végponttanúsítvány (LSC) nélkül teszi lehetővé az adathordozó- és jelzőtitkosítást.
A Cisco Jabber Efemeral portokat és biztonságos 6971-es és 6972-es portokat használ HTTPS-kapcsolaton keresztül a TFTP-kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port nem biztonságos port HTTP-n keresztül tölthető le.
További részletek a SIP OAuth konfigurációjáról: SIP OAuth mód.
DNS-követelmények
Dedikált példány esetén a Cisco az egyes régiókban a következő formátumban biztosítja a szolgáltatás teljes tartományba tartozó értékét <customer><region>. wxc-di.webex.com például xyz.amer.wxc-di.webex.com.
Az "ügyfél" értéket a rendszergazda az Első alkalommal telepítővarázsló (FTSW) részeként adja meg. További információt a dedikált példányszolgáltatás aktiválása címűtémakörben talál.
Az FQDN DNS-rekordjainak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgálójáról, hogy támogassák a dedikált példányhoz csatlakozó helyszíni eszközöket. A megoldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatására mutat. A dedikált példány DNS-szolgáltatása regionális, és a dedikált példányhoz való társviszonyon keresztül érhető el az alábbi IP-címek használatával, az alábbi táblázatban említett ip-címek használatával Dedikált példány DNS-szolgáltatás IP-címe.
Régió/TARTOMÁNYVEZÉRLŐ |
Dedikált példány DNS-szolgáltatás IP-címe | Példa feltételes továbbításra |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
BŰN |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
A pingelési lehetőség biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP-címei miatt. |
Amíg a feltételes továbbítás nem történik meg, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfelek belső hálózatáról a társviszony-kapcsolatokon keresztül. A mobil- és távelérési (MRA) regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépíti.
Ha a Webex alkalmazást hívja soft kliensként a dedikált példányon, az UC Manager-profilt az egyes régiók hangszolgáltatás-tartományához (VSD) tartozó Control Hubban kell konfigurálni. További információt a Cisco Webex Control Hub UC Manager profiles című témakörében talál. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét a végfelhasználó beavatkozása nélkül.
A hangszolgáltatás tartománya a partnerhozzáférési dokumentum részeként kerül az ügyfél rendelkezésére, miután a szolgáltatás aktiválása befejeződött. |
Hivatkozások
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Biztonsági témakör: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Biztonsági útmutató a Cisco Unified Communications Manager számára: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html