- Home
- /
- Articolo
Requisiti di sicurezza per Webex Calling
Questo articolo è per amministratori di rete, in particolare amministratori di firewall e della sicurezza proxy che desiderano utilizzare Webex Calling all'interno della propria organizzazione.
Per informazioni sulle porte di riferimento per firewall e requisiti di accesso, vedi Informazioni di riferimento porta per Cisco Webex Calling.
Requisiti per endpoint
Webex Calling Edge
Per eseguire una registrazione o una chiamata SIP, completa la seguente procedura:
-
Rileva l'indirizzo host di un endpoint SIP per i nodi Edge attivi.
-
Completa tutte le condizioni preliminari correlate alla configurazione del dispositivo e dell'utente.
-
Assicurati che l'endpoint disponga della connettività alla rete pubblica per avviare il rilevamento del servizio.
-
Completa le condizioni preliminari per il bootstrap dell'endpoint con una configurazione di provisioning specifica della regione o del centro dati. Questa configurazione consente di ottenere il suffisso del nome di dominio pertinente per il rilevamento del servizio.
IPv4 e IPv6
I dispositivi possono funzionare in una modalità single-stack o dual-stack. È la configurazione che determina le modifiche al protocollo preferito e tali modifiche non fanno parte del rilevamento del servizio.
-
Modalità single-stack: abilita un solo protocollo IP (ad esempio, IPv4) e ignora gli altri indirizzi di protocollo.
-
Modalità dual-stack: seleziona una versione IP preferita tramite la configurazione.
Il client considera la priorità per tutti gli indirizzi preferiti più bassa (ossia, preferita) rispetto a tutti gli indirizzi IP. Se preferisci IPv4, vengono tentati tutti gli indirizzi IPv4 prima di tentare un indirizzo IPv6. Se tutti gli indirizzi non riescono, il ciclo viene riavviato con l'indirizzo di protocollo preferito a priorità più bassa.
Un client mobile che esegue la registrazione alla ricezione di una notifica push può decidere di ottimizzare la modalità in base alle registrazioni precedenti.
Risoluzione dell'indirizzo host dall'indirizzo SRV DNS
Nel file di configurazione dell'endpoint ottenuto dal provisioning, l'indicatore di dominio specifica il nome di dominio per rilevare il servizio edge di accesso. Un esempio di nome di dominio è il seguente:
wxc.edge.bcld.webex.com
Nell'esempio, l'endpoint che esegue una ricerca SRV DNS per questo dominio può ottenere una risposta simile alla seguente:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
In questo caso, il record SRV punta a record 3 A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
Nell'esempio, a tutti gli host viene annunciato di contattare la porta 5061 con peso e priorità diversi.
Tieni in considerazione questi requisiti per gli endpoint.
-
Un endpoint deve utilizzare
_sips._tcp
(combinazione di servizio e protocollo) come prefisso per eseguire una ricerca SRV DNS per ottenere l'indirizzo host per l'avvio della comunicazione basata su TLS. -
Un endpoint deve eseguire una ricerca SRV DNS per le condizioni spiegate nella sezione Risoluzione dell'indirizzo host dall'indirizzo SRV DNS.
-
Un endpoint deve rispettare host, porta, peso e priorità come annunciato per ciascuno degli indirizzi host. Inoltre, deve creare un'affinità tra host e porta quando si crea una connessione socket durante la registrazione SIP.
-
In modo specifico per l'uso del record SRV DNS, i criteri di selezione degli host basati su priorità e peso sono spiegati in RFC 2782.
Requisiti per SIP e supporti
Requisito |
Descrizione |
---|---|
Certificato di attendibilità richiesto per la crittografia a chiave pubblica |
Fai riferimento a articolo, per informazioni sull'autorità di firma dei certificati Webex e sull'Autorità di certificazione radice richiesta sui dispositivi |
Versione TLS supportata per Secure SIP |
TLS 1.2 |
Crittografie TLS supportate per Secure SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Chiavi SRTP supportate per supporti sicuri |
AES_CM_128_HMAC_SHA1_80 |
Requisiti per Secure SIP con mTLS (autenticazione TLS reciproca)
I requisiti sono spiegati in dettaglio qui.
Per autorizzare e autenticare correttamente le chiamate provenienti dal trunk è necessario disporre di un certificato firmato. Il certificato deve soddisfare i seguenti requisiti:
-
Il certificato deve essere firmato da un'autorità di certificazione menzionata in Quali autorità di certificazione radice sono supportate per le chiamate alle piattaforme audio e video Cisco Webex?
-
Carica il bundle attendibile menzionato in Quali autorità di certificazione radice sono supportate per le chiamate alle piattaforme audio e video Cisco Webex? su CUBE.
-
Il certificato deve essere sempre valido:
-
I certificati firmati devono sempre avere una scadenza valida.
-
I certificati radice o intermedi devono avere una scadenza valida e non devono essere revocati.
-
I certificati devono essere firmati per l'utilizzo su client e server.
-
I certificati devono contenere il nome di dominio completo (FQDN) come nome comune o nome alternativo dell'oggetto nel certificato con il nome di dominio completo scelto in Control Hub. Ad esempio:
-
Un trunk configurato da Control Hub della tua organizzazione con london.lgw.cisco.com:5061 come nome di dominio completo deve contenere london.lgw.cisco.com nel certificato CN o SAN.
-
Un trunk configurato da Control Hub della tua organizzazione con london.lgw.cisco.com ome SRV deve contenere london.lgw.cisco.com nel certificato CN o SAN. I record in cui l'indirizzo SRV viene risolto in (CNAME/Record A/indirizzo IP) sono opzionali in SAN.
-
-
Puoi condividere i certificati con più di un gateway locale; tuttavia, assicurati che i requisiti del nome di dominio completo siano soddisfatti.
-
Fuori ambito
Questo articolo non include le seguenti informazioni relative alla sicurezza della rete:
-
Requisiti F5 per CA e crittografie
-
API basata su HTTP per scaricare le regole del firewall per Webex
-
API per un bundle attendibile
-
Requisiti firewall e disabilitazione ALG