- Kezdőlap
- /
- Cikk
A dedikált példányok megoldásának hálózati és biztonsági követelményei a biztonságos fizikai hozzáférést, a hálózatot, a végpontokat és a Cisco UC -alkalmazásokat biztosító szolgáltatások és funkciók többrétegű megközelítését jelentik. Leírja a hálózati követelményeket, és felsorolja a végpontok szolgáltatásokhoz való kapcsolásához használt címeket, portokat és protokollokat.
A dedikált példány hálózati követelményei
A Webex Calling dedikált példány a Cisco Cloud Calling portfóliójának része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológiája hajt. A dedikált példány hang-, videó-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP -telefonok, mobileszközök és asztali kliensek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.
Ez a cikk azoknak a hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik a dedikált példányt szeretnék használni a szervezetükön belül.
Biztonsági áttekintés: Biztonság rétegekben
A dedikált példány a biztonság érdekében többrétegű megközelítést alkalmaz. A rétegek a következők:
-
Fizikai hozzáférés
-
Hálózat
-
Végpontok
-
UC alkalmazások
A következő szakaszok a dedikált példányok telepítéseinek biztonsági szintjeit ismertetik.
Fizikai biztonság
Fontos, hogy biztosítsák az Equinix Meet-Me Room helyszíneinek és a Cisco dedikált példányának adatközpontjainak fizikai biztonságát. Ha a fizikai biztonság veszélybe kerül, egyszerű támadások indíthatók, például az ügyfél kapcsolóinak áramkimaradása miatti szolgáltatáskimaradás. A fizikai hozzáféréssel a támadók hozzáférhetnek a kiszolgálóeszközökhöz, visszaállíthatják a jelszavakat, és hozzáférhetnek a kapcsolókhoz. A fizikai hozzáférés megkönnyíti a kifinomultabb támadásokat is, mint például a közbeékelődő támadásokat, ezért a második biztonsági réteg, a hálózati biztonság kritikus fontosságú.
Az UC-alkalmazásokat kiszolgáló dedikált példányos adatközpontok öntitkosító meghajtókat használnak.
Az általános biztonsági gyakorlatokkal kapcsolatos további információkért olvassa el a következő helyen található dokumentációt: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .
Hálózatbiztonság
A partnereknek gondoskodniuk kell arról, hogy az összes hálózati elem biztonságos legyen a dedikált példány infrastruktúrában (amely az Equinixen keresztül kapcsolódik). A partner felelőssége a bevált módszerek biztosítása, mint például:
-
Külön VLAN a hanghoz és az adathoz
-
Engedélyezze a Portbiztonságot, amely korlátozza a portonként engedélyezett MAC -címek számát a CAM-tábla elárasztása ellen
-
IP -forrás Védelem a meghamisított IP -címek ellen
-
A Dynamic ARP Inspection (DAI) a címfeloldási protokollt (ARP) és az ingyenes ARP (GARP) szabálysértéseket vizsgálja (az ARP-hamisítás ellen)
-
A 802.1x korlátozza a hálózati hozzáférést az eszközök hitelesítéséhez a hozzárendelt VLAN-okon (a telefonok támogatják a 802.1x-et)
-
A szolgáltatásminőség (QoS) beállítása a hangcsomagok megfelelő jelöléséhez
-
A tűzfal olyan portkonfigurációkat biztosít, amelyek blokkolnak minden más forgalmat
Végpontok biztonsága
A Cisco -végpontok támogatják az olyan alapértelmezett biztonsági funkciókat, mint az aláírt firmware, a biztonságos rendszerindítás (egyes modellek), a gyártó által telepített tanúsítvány (MIC) és az aláírt konfigurációs fájlok, amelyek bizonyos szintű biztonságot nyújtanak a végpontok számára.
Ezenkívül egy partner vagy ügyfél további biztonságot is engedélyezhet, például:
-
IP-telefon titkosítása (HTTPS-en keresztül) az olyan szolgáltatásokhoz, mint az Extension Mobility
-
Helyileg jelentős tanúsítványok (LSC) kiadása a hitelesítésszolgáltatói proxyfunkció (CAPF) vagy egy nyilvános hitelesítésszolgáltatótól (CA)
-
Konfigurációs fájlok titkosítása
-
Média és jelzés titkosítása
-
Tiltsa le ezeket a beállításokat, ha nem használják őket: PC-port, PC Voice VLAN -hozzáférés, ingyenes ARP, web elérés, Beállítások gomb, SSH, konzol
A biztonsági mechanizmusok dedikált példányban történő bevezetése megakadályozza a telefonok és a Unified CM-kiszolgáló személyazonosság-lopását, az adatok manipulálását, valamint a hívásjelzés/médiafolyam szabotázsát.
Dedikált példány a hálózaton keresztül:
-
Hitelesített kommunikációs folyamokat hoz létre és tart fenn
-
Digitálisan aláírja a fájlokat a telefonra való átvitel előtt
-
Titkosítja a médiastreameket és a hívásjelzéseket a Cisco Unified IP -telefonok között
A Biztonság alapértelmezés szerint a következő automatikus biztonsági funkciókat biztosítja a Cisco Unified IP -telefonokhoz:
-
A telefonkonfiguráció fájlok aláírása
-
A telefonkonfiguráció fájlok titkosításának támogatása
-
HTTPS a Tomcat alkalmazással és más web (MIDletek)
A Unified CM 8.0 későbbi verziójában ezek a biztonsági szolgáltatások alapértelmezés szerint a CTL(Certificate Trust List) kliens futtatása nélkül állnak rendelkezésre.
Bizalom-ellenőrző szolgáltatásMivel nagyszámú telefon van egy hálózatban, és az IP -telefonok korlátozott memóriával rendelkeznek, a Cisco Unified CM távoli bizalmi tárolóként működik a Trust Verification Service (TVS) révén, így nem kell megbízhatósági igazolás tárolót elhelyezni minden telefonon. A Cisco IP -telefonok felveszik a kapcsolatot a TVS -kiszolgálóval ellenőrzés céljából, mert nem tudnak CTL vagy ITL-fájlokon keresztül ellenőrizni az aláírást vagy a tanúsítványt. Egy központi bizalmi tárolóval könnyebben kezelhető, mintha az egyes Cisco Unified IP-telefon lenne.
A TVS lehetővé teszi a Cisco Unified IP -telefonok számára az alkalmazáskiszolgálók, például az EM -szolgáltatások, a címtár és a MIDlet hitelesítését a HTTPS létrehozása során.
Kezdeti megbízhatósági listaA kezdeti megbízhatósági lista (ITL) fájl a kezdeti biztonság, így a végpontok megbízhatnak a Cisco Unified CM-ben. Az ITL-nek nincs szüksége semmilyen biztonsági funkciónak kifejezetten engedélyezésére. Az ITL fájl automatikusan létrejön a fürt telepítésekor. A Unified CM Trivial File Transfer Protocol (TFTP) szerver privát kulcsát használják az ITL fájl aláírására.
Amikor a Cisco Unified CM fürt vagy kiszolgáló nem biztonságos mód van, az ITL fájl minden támogatott Cisco IP-telefon letöltődik. A partner az ITL-fájlok tartalmát a CLI-parancs tekintheti meg, admin:show itl.
A Cisco IP -telefonoknak az ITL fájlra van szükségük a következő feladatok elvégzéséhez:
-
Biztonságos kommunikáció a CAPF, amely előfeltétele a konfigurációs fájl titkosításának támogatásának
-
Hitelesítse a konfigurációs fájl aláírását
-
Alkalmazáskiszolgálók, például EM -szolgáltatások, címtár és MIDlet hitelesítése a HTTPS TVS -t használó létrehozása során
Az eszköz-, fájl- és jelzés-hitelesítés a tanúsítvány-bizalmi lista (CTL) fájl létrehozásán alapul, amely akkor jön létre, amikor a partner vagy az ügyfél telepíti és konfigurálja a Cisco Certificate Trust List klienst.
A CTL-fájl a következő kiszolgálókhoz vagy biztonsági tokenekhez tartalmaz bejegyzéseket:
-
Rendszergazdai biztonsági token (SAST)
-
Az ugyanazon a kiszolgálón futó Cisco CallManager és Cisco TFTP szolgáltatások
-
Certificate Authority -szolgáltató proxy funkció (CAPF)
-
TFTP szerver(ek)
-
ASA-tűzfal
A CTL-fájl tartalmaz egy kiszolgálótanúsítvány, nyilvános kulcsot , termékszám, aláírást , kibocsátó nevét , alany nevét , kiszolgálófunkciót , DNS nevet és IP-cím az egyes kiszolgálókhoz.
A CTL telefonbiztonság a következő funkciókat biztosítja:
-
A TFTP segítségével letöltött fájlok hitelesítése (konfiguráció, területi beállítás, csengőlista stb.) aláíró kulccsal
-
TFTP konfigurációs fájlok titkosítása aláíró kulccsal
-
Titkosított hívásjelzés IP -telefonokhoz
-
Titkosított híváshang (média) IP -telefonokhoz
A dedikált példány végpont regisztrációt és hívásfeldolgozás biztosít. A Cisco Unified CM és a végpontok közötti jelzés a Secure Skinny Client Control Protocol (SCCP) vagy a Session Initiation Protocol (SIP) alapján történik, és a Transport Layer Security (TLS) (TLS) segítségével titkosítható. A végpontokhoz/végpontokhoz érkező adathordozók valós idejű szállítási protokollon (RTP) alapulnak, és biztonságos RTP (SRTP) használatával is titkosíthatók.
A vegyes mód engedélyezése a Unified CM -en lehetővé teszi a Cisco -végpontok és azok felé irányuló jelzés- és médiaforgalom titkosítását.
Biztonságos UC-alkalmazások
Vegyes mód engedélyezése dedikált példánybanA vegyes mód alapértelmezetten engedélyezve van a dedikált példányban.
Ha engedélyezi a vegyes módot a dedikált példányban, lehetővé válik a Cisco végpontjairól érkező és oda érkező jelzés- és médiaforgalom titkosítása.
A Cisco Unified CM 12.5(1) kiadása egy új opcióval bővült a Jabber és Webex ügyfelek számára, amely lehetővé teszi a jelzések és a média titkosítását a vegyes módú/ CTL helyett SIP OAuth alapján. Ezért a Unified CM 12.5(1) kiadásában a SIP OAuth és az SRTP használható a jelzések és a média titkosításának engedélyezésére a Jabber vagy Webex ügyfelek számára. A vegyes mód engedélyezése jelenleg is szükséges a Cisco IP -telefonokhoz és más Cisco -végpontokhoz. A tervek szerint egy jövőbeli kiadásban hozzáadják a SIP OAuth-támogatást a 7800/8800 végpontokhoz.
Hangüzenetek biztonságaA Cisco Unity Connection a TLS porton keresztül kapcsolódik a Unified CM -hez. Ha az eszköz biztonsági módja nem biztonságos, a Cisco Unity Connection az SCCP porton keresztül csatlakozik a Unified CM -hez.
Az SCCP protokollt futtató Unified CM hangüzenetküldő portok és Cisco Unity eszközök vagy az SCCP futtató Cisco Unity Connection eszközök biztonságának konfigurálásához a partnerek biztonságos SCCP módot választhatnak a porthoz. Ha hitelesített hangpostaport választ, egy TLS kapcsolat nyílik meg, amely kölcsönös tanúsítványcserével hitelesíti az eszközöket (minden eszköz elfogadja a másik eszköz tanúsítványát). Ha titkosított hangpostaport választ, a rendszer először hitelesíti az eszközöket, majd titkosított hangfolyamot küld az eszközök között.
A Biztonsági hangüzenet portokkal kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010
Biztonság az SRST-hez, trönkekhez, átjárókhoz, CUBE/SBC-hez
A Cisco Unified Survivable Remote Site Telephony (SRST) engedélyezett átjárók korlátozott hívásfeldolgozási feladatokat biztosítanak, ha a dedikált példányon lévő Cisco Unified CM nem tudja befejezni a hívást.
A biztonságos SRST-kompatibilis átjárók önaláírt tanúsítvány tartalmaznak. Miután egy partner SRST -konfigurációs feladatokat végez a Unified CM Administration, a Unified CM TLS -kapcsolatot használ a Tanúsítványszolgáltató szolgáltatással való hitelesítéshez az SRST-engedélyezett átjáró. A Unified CM ezután lekéri a tanúsítványt az SRST-engedélyezett átjáró , és hozzáadja a Unified CM adatbázishoz.
Miután a partner alaphelyzetbe állította a függő eszközöket a Unified CM Administration, a TFTP -kiszolgáló hozzáadja az SRST-engedélyezett átjáró átjárótanúsítványt a telefon cnf.xml fájljához, és elküldi a fájlt a telefonra. A biztonságos telefon ezután TLS -kapcsolaton keresztül lép kapcsolatba az SRST-engedélyezett átjáró.
A kimenő PSTN-hívások vagy a Cisco Unified Border Element (CUBE) elemen (CUBE) keresztül történő áthaladás esetén javasolt biztonságos fővonalak használata a Cisco Unified CM -ből az átjáró felé irányuló hívásokhoz.
A SIP trönkök támogatni tudják a biztonságos hívásokat mind a jelzés, mind a média területén; A TLS biztosítja a jelzések titkosítását, az SRTP pedig a média titkosítását.
Kommunikáció biztonsága a Cisco Unified CM és a CUBE között
A Cisco Unified CM és a CUBE közötti biztonságos kommunikáció érdekében a partnereknek/ügyfeleknek vagy önaláírt tanúsítvány vagy CA által aláírt tanúsítványt kell használniuk.
Önaláírt tanúsítványok esetén:
-
A CUBE és a Cisco Unified CM önaláírt tanúsítványokat állít elő
-
A CUBE tanúsítványt exportál a Cisco Unified CM -be
-
A Cisco Unified CM tanúsítványt exportál a CUBE-be
CA által aláírt tanúsítványok esetén:
-
Az ügyfél létrehoz egy kulcspárt, és tanúsítvány-aláírási kérelmet (CSR) küld a Certificate Authority -szolgáltatónak (CA)
-
A hitelesítésszolgáltató aláírja a titkos kulcsával, létrehozva ezzel egy identitástanúsítványt
-
Az ügyfél telepíti a megbízható legfelső szintű és közvetítői CA-tanúsítványok listáját, valamint az identitástanúsítványt
Távoli végpontok biztonsága
A mobil és Remote Access (MRA) végpontok esetén a jelzés és az adathordozó mindig titkosítva van az MRA-végpontok és az Expressway csomópontok között. Ha az Interactive Connectivity Establishment (ICE) protokollt használják az MRA-végpontokhoz, akkor az MRA-végpontok jelzés- és médiatitkosítására van szükség. Az Expressway-C és a belső Unified CM -kiszolgálók, belső végpontok vagy más belső eszközök közötti jelzések és adathordozók titkosítása azonban vegyes módú vagy SIP OAuth-t igényel.
A Cisco Expressway biztonságos tűzfal bejárást és vonaloldali támogatást nyújt a Unified CM regisztrációkhoz. A Unified CM hívásvezérlés a mobil és a helyszíni végpontok számára is. A jelzés az Expressway megoldáson halad át a távoli végpont és a Unified CM között. A média áthalad az Expressway megoldáson, és közvetlenül a végpontok között közvetítődik. Minden adathordozó titkosítva van az Expressway-C és a mobil végpont között.
Minden MRA-megoldáshoz Expressway és Unified CM szükséges, MRA-kompatibilis szoftveres kliensekkel és/vagy rögzített végpontokkal. A megoldás opcionálisan tartalmazhatja az IM and jelenléti szolgáltatás és a Unity Connection szolgáltatást.
Protokoll összefoglaló
A következő táblázat a Unified CM megoldásban használt protokollokat és kapcsolódó szolgáltatásokat mutatja be.
Protokoll |
Biztonság |
Szolgáltatás |
---|---|---|
SIP |
TLS |
Alkalom létrehozása: Regisztráció, Meghívás stb. |
HTTPS |
TLS |
Bejelentkezés, üzembe helyezés/konfiguráció, címtár, vizuális hangposta |
Média |
SRTP |
Média: Hang, videó, tartalommegosztás |
XMPP |
TLS |
Azonnali Üzenetküldés, Jelenlét, Összevonás |
Az MRA-konfigurációval kapcsolatos további információkért lásd: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurációs lehetőségek
A dedikált példány a második napi konfigurációk teljes ellenőrzése révén rugalmasságot biztosít a Partner számára, hogy testre szabhassa a szolgáltatásokat a végfelhasználók számára. Ennek eredményeképpen a Partner kizárólagos felelőssége a Dedikált példány szolgáltatás megfelelő konfigurációja a végfelhasználói környezet számára. Ez magában foglalja, de nem kizárólagosan:
-
A biztonságos/nem biztonságos hívások, a biztonságos/nem biztonságos protokollok, például a SIP/sSIP, http/https stb. kiválasztása, valamint a kapcsolódó kockázatok megértése.
-
A dedikált példányban nem biztonságos SIP -ként beállított összes MAC -cím esetében a támadó SIP -regiszter üzenetet küldhet az adott MAC-cím használatával, és SIP -hívásokat kezdeményezhet, ami díjcsalást eredményezhet. Ennek feltétele, hogy a támadó SIP-eszköz/szoftverét engedély nélkül regisztrálhassa a dedikált példányra, ha ismeri a dedikált példányban regisztrált eszköz MAC-cím .
-
Az Expressway-E hívási szabályzatait, az átalakítási és keresési szabályokat úgy kell konfigurálni, hogy megakadályozzák a díjcsalást. Az Expressways útdíjcsalás megelőzésével kapcsolatos további információkért olvassa el a Biztonság Expressway C és Expressway-E esetében című részét Együttműködés SRND .
-
A tárcsázási terv konfigurációja annak biztosítása érdekében, hogy a felhasználók csak az engedélyezett célhelyeket tárcsázhassák, pl. a nemzeti/nemzetközi tárcsázás tiltása, a segélyhívások megfelelően vannak irányítva stb. A tárcsázási terv használatával kapcsolatos korlátozások alkalmazásáról bővebben itt olvashat: Tárcsázási terv Az Együttműködés SRND szakaszában.
Tanúsítványkövetelmények a biztonságos kapcsolatokhoz a dedikált példányban
A dedikált példányok esetében a Cisco biztosítja a tartományt, és írja alá az összes tanúsítványt az UC-alkalmazásokhoz egy nyilvános Certificate Authority (CA) segítségével.
Dedikált példány – portszámok és protokollok
A következő táblázatok ismertetik a dedikált példányban támogatott portokat és protokollokat. Az adott ügyfélhez használt portok száma az Ügyfél telepítésétől és megoldásától függ. A protokollok az ügyfél preferenciáitól (SCCP vs SIP), a meglévő helyszíni eszközöktől, valamint attól függnek, hogy milyen biztonsági szinttel kell meghatározni, hogy mely portokat kell használni az egyes telepítésekben.
A dedikált példány nem engedélyezi a hálózati címfordítást (NAT) a végpontok és a Unified CM között, mivel egyes hívásfolyamat-szolgáltatások nem működnek, például a hívás közben funkció. |
Dedikált példány – Ügyfélportok
Az ügyfelek számára elérhető portok – a helyszíni ügyfél és a dedikált példány között az 1. táblázatban láthatók. Dedikált példány ügyfélportok . Az összes alább felsorolt port a peering hivatkozásokon áthaladó ügyfélforgalomra vonatkozik.
Az SNMP port alapértelmezés szerint csak a Cisco Emergency Responder számára van nyitva, hogy támogassa a funkcióit. Mivel nem támogatjuk a dedikált példányfelhőben telepített UC-alkalmazásokat figyelő partnereket vagy ügyfeleket, nem engedélyezzük az SNMP -port megnyitását más UC-alkalmazások számára. |
Az 5063 és 5080 közötti tartományba eső portokat a Cisco más felhőintegráció számára fenntartja, a partner- vagy ügyfél-rendszergazdáknak ajánlott, hogy ne használják ezeket a portokat a konfigurációkban. |
Protokoll |
TCP/UDP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UC alkalmazások
|
Nagyobb mint 1023 |
22 |
Felügyelet |
||
TFTP |
UDP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
69 |
Régi végpont támogatás |
||
LDAP |
TCP |
UC alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
389 |
Címtár szinkronizálás az ügyfél LDAP -jével |
||
HTTPS |
TCP |
Böngésző |
UC alkalmazások |
Nagyobb mint 1023 |
443 |
web hozzáférés az önkiszolgáló és adminisztrációs felületekhez |
||
Kimenő levelek (BIZTONSÁGOS) |
TCP |
UC-alkalmazás |
CUCxn |
Nagyobb mint 1023 |
587 |
Biztonságos üzenetek létrehozására és küldésére szolgál bármely kijelölt címzettnek |
||
LDAP (BIZTONSÁGOS) |
TCP |
UC alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
636 |
Címtár szinkronizálás az ügyfél LDAP -jével |
||
H323 |
TCP |
Átjáró |
Unified CM |
Nagyobb mint 1023 |
1720 |
Hívásjelzés |
||
H323 |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
1720 |
Hívásjelzés |
||
SCCP |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
2000 |
Hívásjelzés |
||
SCCP |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
2000 |
Hívásjelzés |
||
MGCP |
UDP |
Átjáró |
Átjáró |
Nagyobb mint 1023 |
2427 |
Hívásjelzés |
||
MGCP Backhaul |
TCP |
Átjáró |
Unified CM |
Nagyobb mint 1023 |
2428 |
Hívásjelzés |
||
SCCP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
2443 |
Hívásjelzés |
||
SCCP (BIZTONSÁGOS) |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
2443 |
Hívásjelzés |
||
Bizalom ellenőrzése |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2445 |
Megbízhatóság-ellenőrzési szolgáltatás nyújtása a végpontoknak |
||
CTI |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2748 |
Kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között |
||
Biztonságos CTI |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
2749 |
Biztonságos kapcsolat a CTI -alkalmazások (JTAPI/TSP) és a CTIManager között |
||
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
3268 |
Címtár szinkronizálás az ügyfél LDAP -jével |
||
LDAP globális katalógus |
TCP |
UC-alkalmazások |
Külső címtár |
Nagyobb mint 1023 |
3269 |
Címtár szinkronizálás az ügyfél LDAP -jével |
||
CAPF szolgáltatás |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
3804 |
Certificate Authority -szolgáltató proxy funkció (CAPF) figyelő port a helyileg jelentős tanúsítványok (LSC) IP telefonok számára történő kiadásához |
||
SIP |
TCP |
Végpont |
Unified CM, CUCxn |
Nagyobb mint 1023 |
5060 |
Hívásjelzés |
||
SIP |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
5060 |
Hívásjelzés |
||
SIP (BIZTONSÁGOS) |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
5061 |
Hívásjelzés |
||
SIP (BIZTONSÁGOS) |
TCP |
Unified CM |
Unified CM, Átjáró |
Nagyobb mint 1023 |
5061 |
Hívásjelzés |
||
SIP (OAUTH) |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
5090 |
Hívásjelzés |
||
XMPP |
TCP |
Jabber kliens |
Cisco IM&P |
Nagyobb mint 1023 |
5222 |
Azonnali Üzenetküldés és jelenlét |
||
HTTP |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6970 |
Konfiguráció és képek letöltése a végpontokra |
||
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6971 |
Konfiguráció és képek letöltése a végpontokra |
||
HTTPS |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
6972 |
Konfiguráció és képek letöltése a végpontokra |
||
HTTP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7080 |
Hangposta értesítések |
||
HTTPS |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7443 |
Biztonságos hangposta-értesítések |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
7501 |
Az fürtök közötti keresőszolgáltatás (ILS) által használt tanúsítvány alapú hitelesítéshez |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Nagyobb mint 1023 |
7502 |
Az ILS használja a jelszó alapú hitelesítéshez |
||
IMAP |
TCP |
Jabber kliens |
CUCxn |
Nagyobb mint 1023 |
7993 |
IMAP TLS felett |
||
HTTP |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
8080 |
Címtár- URI a régi végpontok támogatásához |
||
HTTPS |
TCP |
Böngésző, végpont |
UC alkalmazások |
Nagyobb mint 1023 |
8443 |
web hozzáférés önkiszolgáló és adminisztrációs felületekhez, UDS |
||
HTTPS |
TCP |
Telefon |
Unified CM |
Nagyobb mint 1023 |
9443 |
Hitelesített névjegy keresés |
||
HTTPs |
TCP |
Végpont |
Unified CM |
Nagyobb mint 1023 |
9444 |
Fejhallgató-kezelési funkció |
||
Biztonságos RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 – 32767 * |
16384 – 32767 * |
Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva) |
||
Biztonságos RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 – 32767 * |
16384 – 32767 * |
Média (audio) – Tartásban lévő Zene tartásban, Kijelző, Szoftverkonferencia Bridge (Hívásjelzés alapján nyitva) |
||
COBRAS |
TCP |
Kliens |
CUCxn |
Nagyobb mint 1023 |
20532 |
Alkalmazáscsomag biztonsági mentése és visszaállítása |
||
ICMP |
ICMP |
Végpont |
UC alkalmazások |
nincs adat |
nincs adat |
Pingelés |
||
ICMP |
ICMP |
UC alkalmazások |
Végpont |
nincs adat |
nincs adat |
Pingelés |
||
DNS | UDP és TCP |
DNS továbbító |
Dedikált példány DNS kiszolgálók |
Nagyobb mint 1023 |
53 |
Ügyfélhelyi DNS továbbítók a dedikált példány DNS -kiszolgálókhoz. Lásd DNS követelmények további információkért. |
||
* Egyes speciális esetekben nagyobb hatótávolságot igényelhet. |
Dedikált példány – OTT portok
A következő portot használhatják a mobil- és Remote Access (MRA) ügyfelek és partnerek:
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
BIZTONSÁGOS RTP/ RTCP |
UDP |
Gyorsforgalmi út C |
Kliens |
Nagyobb mint 1023 |
36000-59999 |
Biztonságos média MRA és B2B hívásokhoz |
Inter-op SIP-trönk a többszörös bérlő és a dedikált példány között (csak regisztrációalapú trönk esetén)
A következő portlistát kell engedélyezni az ügyfél tűzfalán a többbérlős és a dedikált példány között csatlakozó regisztráció alapú SIP-trönk számára.
Protokoll |
TCP/UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
RTP/ RTCP |
UDP |
Webex Calling többbérlős |
Kliens |
Nagyobb mint 1023 |
8000-48198 |
Média a Webex Calling Multitenant-től |
Dedikált példány – UCCX portok
A következő portlistát az Ügyfelek és Partnerek használhatják az UCCX konfigurálásához.
Protokoll |
TCP / UCP |
Forrás |
Cél |
Forrásport |
Célállomás portja |
Cél |
---|---|---|---|---|---|---|
SSH |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
22 |
SFTP és SSH |
Informix |
TCP |
Kliens vagy Szerver |
UCCX |
Nagyobb mint 1023 |
1504 |
Contact Center Express adatbázis port |
SIP |
UDP és TCP |
SIP GW vagy MCRP szerver |
UCCX |
Nagyobb mint 1023 |
5065 |
Kommunikáció távoli GW és MCRP csomópontokkal |
XMPP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
5223 |
Biztonságos XMPP -kapcsolat a Finesse szerver és az egyéni, harmadik féltől származó alkalmazások között |
CVD |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
6999 |
CCX alkalmazások szerkesztője |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
7443 |
Biztonságos BOSH-kapcsolat a Finesse szerver, valamint az ügynök és a felügyeleti asztal között a HTTPS-kapcsolaton keresztüli kommunikációhoz |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8080 |
Az élő adat jelentéskészítő ügyfelek egy socket.IO kiszolgálóhoz csatlakoznak |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8081 |
Kliensböngésző próbál elérni a Cisco Unified Intelligence Center webinterfész |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8443 |
Rendszergazdai grafikus felhasználói felület, RTCP, DB hozzáférés SOAP -on keresztül |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8444 |
Cisco Unified Intelligence Center webinterfész |
HTTPS |
TCP |
Böngésző és REST kliensek |
UCCX |
Nagyobb mint 1023 |
8445 |
Biztonságos port Finesse számára |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8447 |
HTTPS – Unified Intelligence Center online súgó |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
8553 |
Az egyszeri bejelentkezési (SSO) összetevők hozzáférnek ehhez a felülethez, hogy megismerjék a Cisco IdS működési állapotát. |
HTTP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
9080 |
HTTP triggerekhez vagy dokumentumokhoz / promptokhoz / nyelvtanokhoz / élő adatok férni próbáló ügyfelek . |
HTTPS |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
9443 |
Biztonságos port, amely arra szolgál, hogy válaszoljon a HTTPS triggerekhez elérni próbáló ügyfelek számára |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12014 |
Ez az a port, ahol az élő-adatjelentést készítő ügyfelek csatlakozhatnak a socket.IO kiszolgálóhoz |
TCP |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12015 |
Ez az a port, ahol az élő-adatjelentést készítő ügyfelek csatlakozhatnak a socket.IO kiszolgálóhoz |
CTI |
TCP |
Kliens |
UCCX |
Nagyobb mint 1023 |
12028 |
Harmadik féltől származó CTI -ügyfél a CCX-hez |
RTP(média) |
TCP |
Végpont |
UCCX |
Nagyobb mint 1023 |
Nagyobb mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
RTP(média) |
TCP |
Kliens |
Végpont |
Nagyobb mint 1023 |
Nagyobb mint 1023 |
A médiaport szükség szerint dinamikusan nyílik meg |
Ügyfélbiztonság
A Jabber és a Webex védelme SIP OAuth segítségével
A Jabber és Webex ügyfelek hitelesítése OAuth token segítségével történik a helyi jelentőségű tanúsítvány (LSC) helyett, amelyhez nincs szükség hitelesítésszolgáltatói proxyfunkció (CAPF) (az MRA esetében sem). A vegyes módban vagy anélkül működő SIP OAuth a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5 verziókban jelent meg.
A Cisco Unified CM 12.5-ös verziójában a Telefonbiztonsági profil egy új opcióval rendelkezik, amely lehetővé teszi az LSC/ CAPF nélküli titkosítást, egyetlen Transport Layer Security (TLS) (TLS) + OAuth token használatával a SIP REGISTER-ben. Az Expressway-C csomópontok az Adminisztratív XML web (AXL) API segítségével tájékoztatják a Cisco Unified CM -et az SN/SAN-ról a tanúsítványukban. A Cisco Unified CM ezen információk alapján ellenőrzi az Exp-C tanúsítványt a kölcsönös TLS kapcsolat létesítésekor.
A SIP OAuth végponttanúsítvány (LSC) nélkül teszi lehetővé a média- és jelzéstitkosítást.
A Cisco Jabber ideiglenes portokat, valamint a 6971-es és 6972-es biztonságos portokat használ HTTPS-kapcsolaton keresztül a TFTP -kiszolgálóhoz a konfigurációs fájlok letöltéséhez. A 6970-es port HTTP-n keresztüli letöltés nem biztonságos.
További részletek a SIP OAuth konfigurációról: SIP OAuth mód .
DNS követelmények
A dedikált példányok esetében a Cisco az alábbi formátumban biztosítja az FQDN-t a szolgáltatáshoz az egyes régiókban<customer> .<region> .wxc-di.webex.com például xyz.amer.wxc-di.webex.com .
A „customer” értéket a rendszergazda adja meg az kezdeti beállító varázsló (FTSW) részeként. További információkért lásd: Dedikált példány szolgáltatás aktiválása .
Az ehhez az FQDN-hez tartozó DNS -rekordoknak feloldhatónak kell lenniük az ügyfél belső DNS-kiszolgáló , hogy támogassák a helyszíni eszközök csatlakozását a dedikált példányhoz. A feloldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgáló , amely a dedikált példány DNS -szolgáltatására mutat. A dedikált példány DNS szolgáltatás regionális, és a dedikált példányhoz való társviszony-létesítésen keresztül érhető el az alábbi táblázatban felsorolt IP -címek használatával Dedikált példány DNS szolgáltatás IP címe .
Régió/DC | Dedikált példány DNS szolgáltatás IP címe |
Példa feltételes továbbításra |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
A ping opció biztonsági okokból le van tiltva a fent említett DNS-kiszolgáló IP -címeknél. |
Amíg a feltételes továbbítás nem működik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfél belső hálózatáról a peering hivatkozásokon keresztül. Nincs szükség feltételes továbbításra a mobil és Remote Access (MRA) keresztüli regisztrációhoz, mivel az MRA megkönnyítéséhez szükséges összes külső DNS -rekordot a Cisco előre beállítja.
Ha a Webex alkalmazást hívó soft ügyfélként használja a dedikált példányon, egy UC Manager profilt kell konfigurálni a Control Hubban az egyes régiók Voice Service tartományához (VSD). További információkért lásd: UC Manager profilok a Cisco Webex Control Hub . A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Expressway Edge-jét a végfelhasználó beavatkozás nélkül.
A hangszolgáltatási tartományt a szolgáltatás aktiválásának befejezése után a partner-hozzáférési dokumentum részeként kapja meg az ügyfél. |
Használjon helyi útválasztót a telefon DNS -feloldásához
Azon telefonok esetében, amelyek nem férnek hozzá a vállalati DNS -kiszolgálókhoz, helyi Cisco útválasztó segítségével is továbbíthatók a DNS -kérelmek a dedikált példány-felhő DNS-be. Így szükségtelenné válik a helyi DNS-kiszolgáló telepítése, és teljes körű DNS -támogatást biztosít, beleértve a gyorsítótárazást is.
Példa konfigurációra :
!
ip dns szerver
ip név-kiszolgáló<DI DNS Server IP DC1><DI DNS Server IP DC2>
!
A DNS -használat ebben a üzembehelyezési modell kifejezetten a telefonokra vonatkozik, és csak az ügyfél dedikált példányából származó tartományhoz használható FQDN-ek feloldására. |
Hivatkozások
-
Cisco Collaboration 12.x Megoldásreferencia Hálózati tervek (SRND), Biztonság témakör: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Biztonsági útmutató a Cisco Unified Communications Manager alkalmazáshoz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html