- Home
- /
- Articolo
Requisiti di sicurezza e di rete per istanza dedicata
I requisiti di rete e di sicurezza per la soluzione Istanza dedicata sono l'approccio multilivello alle funzioni e alle funzionalità che forniscono accesso fisico sicuro, rete, endpoint e applicazioni Cisco UC. Descrive i requisiti di rete ed elenca gli indirizzi, le porte e i protocolli utilizzati per connettere gli endpoint ai servizi.
Requisiti di rete per l'istanza dedicata
Webex Calling'istanza dedicata fa parte del portfolio Cisco Cloud Calling, tecnologia Cisco Unified Communications Manager (Cisco Unified CM). L'istanza dedicata offre soluzioni vocali, video, di messaggistica e mobilità con le funzioni e i vantaggi di telefoni Cisco IP phone, dispositivi mobili e client desktop che si connettono in modo sicuro all'istanza dedicata.
Questo articolo è destinato agli amministratori di rete, in particolare amministratori di firewall e della sicurezza proxy che desiderano utilizzare istanza dedicata all'interno della propria organizzazione.
Panoramica sulla sicurezza: Sicurezza a livelli
L'istanza dedicata utilizza un approccio a più livelli per la sicurezza. I livelli includono:
-
Accesso fisico
-
Rete
-
Endpoint
-
Applicazioni UC
Nelle sezioni seguenti vengono descritti i livelli di sicurezza nelle distribuzioni di istanze dedicate.
Sicurezza fisica
È importante fornire sicurezza fisica alle ubicazioni di sala Meet-Me Equinix e alle infrastrutture dei centri dati di istanza dedicata Cisco . Quando la sicurezza fisica è compromessa, è possibile attacco semplice, come interruzione del servizio mediante l'arresto dell'alimentazione agli switch di un cliente. Con l'accesso fisico, si potrebbero ottenere accesso ai dispositivi server, reimpostare le password e ottenere l'accesso agli switch. L'accesso fisico facilita anche attacchi più sofisticati, quali attacchi man-in-the-middle, per cui è fondamentale il secondo livello di sicurezza, la sicurezza di rete.
Le unità di auto-crittografia vengono utilizzate in centri dati ad istanza dedicati che ospitano applicazioni UC.
Per ulteriori informazioni sulle pratiche generali di sicurezza, consultare la documentazione al seguente indirizzo: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Sicurezza di rete
I partner devono assicurarsi che tutti gli elementi di rete siano protetti nell'infrastruttura dell'istanza dedicata (che si connette tramite Equinix). È responsabilità del partner garantire best practice di sicurezza quali:
-
VLAN separata per voce e dati
-
Abilitare la sicurezza delle porte che limita il numero di indirizzi MAC consentiti per porta, in base alla tabella CAM
-
Protezione dell'origine IP per indirizzi IP spoofed
-
Il controllo ARP dinamico (DAI) esamina il protocollo ARP (Address Resolution Protocol) e l'ARP gratuito per violazioni (contro spoofing ARP)
-
802. limita l'accesso1x di rete per l'autenticazione dei dispositivi sulle VLAN assegnate (i telefoni supportano 802).1x
-
Configurazione della qualità del servizio (QoS) per il contrassegno appropriato dei pacchetti vocali
-
Configurazioni delle porte del firewall per il blocco di qualsiasi altro traffico
Sicurezza endpoint
Gli endpoint Cisco supportano funzioni di sicurezza predefinite come firmware firmato, avvio sicuro (modelli selezionati), certificato installato dal produttore (MIC) e file di configurazione firmati, che forniscono un determinato livello di sicurezza per gli endpoint.
Inoltre, un partner o un cliente può abilitare ulteriore sicurezza come:
-
Crittografare i servizi telefonici IP (tramite HTTPS) per servizi come Extension Mobility
-
Emettere certificati significativi in locale (LCS) dalla funzione proxy dell'autorità di certificazione (CAPF) o da un'autorità di certificazione pubblica (CA)
-
Crittografa file di configurazione
-
Crittografare contenuto multimediale e segnalazione
-
Disabilitare queste impostazioni se non vengono utilizzate: Porta PC, accesso PC VLAN vocale, ARP gratuito, accesso Web, pulsante Impostazioni, SSH, console
L'implementazione di meccanismi di sicurezza nell'istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la segnalazione di chiamate/la manomissione di flussi multimediali.
Istanza dedicata sulla rete:
-
Stabilisce e gestisce flussi di comunicazione autenticati
-
Firma in digitale dei file prima di trasferirsi al telefono
-
Esegue la crittografia di flussi multimediali e segnali di chiamata tra Cisco Unified IP Phone
La sicurezza per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatiche Cisco Unified IP phone:
-
Firma dei file di configurazione del telefono
-
Supporto per la crittografia del file di configurazione del telefono
-
HTTPS con Tomcat e altri servizi Web (MIDlet)
Per Unified CM Release 8.0 successivo, queste funzioni di sicurezza sono fornite per impostazione predefinita senza eseguire il client CTL (Certificate Trust List).
Servizio di verifica attendibilitàPoiché esistono un grande numero di telefoni in una rete e i telefoni IP hanno memoria limitata, Cisco Unified CM agisce come un archivio di attendibilità remoto attraverso il servizio di verifica dell'attendibilità (TVS) in modo che non sia necessario inserire un archivio di certificati attendibili su ciascun telefono. I telefoni Cisco IP phone contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato attraverso file CTL o ITL. L'avere di un archivio di attendibilità centrale è più facile da gestire rispetto all'archiviazione della relazione di trust su Cisco Unified IP phone.
Il TVS consente Cisco Unified IP phone per autenticare i server applicazioni, quali servizi EM, directory e MIDlet, durante https https.
Trust list inizialeIl file ITL (Initial Trust List) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano considerarsi affidabili Cisco Unified CM. ITL non richiede l'a attivazione esplicita di funzioni di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server Unified CM Trivial File Transfer Protocol (TFTP) viene utilizzata per firmare il file ITL.
Quando il cluster Cisco Unified CM o il server è in modalità non protetta, il file ITL viene scaricato su ogni telefono IP Cisco supportato. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI admin:show itl.
I telefoni Cisco IP phone devono disporre del file ITL per eseguire le seguenti attività:
-
Comunicare in modo sicuro a CAPF, un prerequisito per supportare la crittografia del file di configurazione
-
Autentica firma file di configurazione
-
Autenticare i server applicazioni, come i servizi EM, la rubrica e MIDlet durante HTTPS https utilizzando TVS
L'autenticazione di dispositivo, file e segnalazione si basa sulla creazione del file dell'elenco dei certificati attendibili (CTL), creato quando il partner o il cliente installa e configura il client dell'elenco dei certificati attendibili di Cisco.
Il file CTL contiene le voci per i seguenti server o token di sicurezza:
-
Token di sicurezza amministratore sistema (SAST)
-
Servizi Cisco CallManager e Cisco TFTP in esecuzione sullo stesso server
-
Funzione proxy autorità di certificazione (CAPF)
-
Server TFTP
-
Firewall ASA
Il file CTL contiene un certificato server, chiave pubblica, numero di serie, firma, nome emittente, nome del soggetto, funzione del server, nome DNS e indirizzo IP per ciascun server.
La sicurezza del telefono con CTL fornisce le seguenti funzioni:
-
Autenticazione dei file scaricati TFTP (configurazione, impostazioni internazionali, elenco delle suonerie e così via) tramite una chiave di firma
-
Crittografia dei file di configurazione TFTP tramite una chiave di firma
-
Segnalazione di chiamata crittografata per telefoni IP
-
Audio delle chiamate crittografate (multimediali) per telefoni IP
L'istanza dedicata fornisce la registrazione dell'endpoint e l'elaborazione delle chiamate. Il segnale tra Cisco Unified CM ed endpoint si basa su SCCP (Secure Skinny Client Control Protocol) o SIP (Secure Skinny Client Control Protocol) o SIP (Session Initiation Protocol) (SIP) e può essere crittografato utilizzando il protocollo TLS (Transport Layer Security). Il contenuto multimediale da/verso gli endpoint si basa su RTP (Real-Time Transport Protocol) e può anche essere crittografato utilizzando SRTP (Secure RTP).
L'abilitazione della modalità mista su Unified CM consente la crittografia del segnale e del traffico multimediale da e verso gli endpoint Cisco.
Applicazioni UC sicure
Abilitazione della modalità mista in Istanza dedicataLa modalità mista è abilitata per impostazione predefinita in Istanza dedicata.
L'abilitazione della modalità mista in istanza dedicata consente di eseguire la crittografia dei segnali e del traffico multimediale da e verso gli endpoint Cisco.
In Cisco Unified CM release 12.5(1), è stata aggiunta una nuova opzione per abilitare la crittografia dei segnali e dei supporti in base a SIP OAuth anziché alla modalità mista/CTL per i client Jabber e Webex. Pertanto, in Unified CM release 12.5(1), è possibile utilizzare SIP OAuth e SRTP per abilitare la crittografia per i segnali e i supporti per i client Jabber o Webex. L'abilitazione della modalità mista continua a essere richiesta per i telefoni Cisco IP Phone e altri endpoint Cisco in questo momento. Esiste un piano per aggiungere il supporto per SIP OAuth negli endpoint 7800/8800 in una release futura.
Sicurezza dei messaggi vocaliCisco Unity Connection si collega a Unified CM attraverso la porta TLS. Se la modalità di sicurezza del dispositivo non è sicura, Cisco Unity Connection si collega a Unified CM attraverso la porta SCCP.
Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e per i dispositivi Cisco Unity che eseguono SCCP o Cisco Unity Connection con SCCP, un partner può scegliere una modalità di sicurezza per il dispositivo sicuro per la porta. Se si sceglie una porta della segreteria telefonica autenticata, viene aperta una connessione TLS che autentica i dispositivi utilizzando uno scambio di certificati reciproci (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta della segreteria telefonica crittografata, il sistema prima autentica i dispositivi, quindi invia flussi vocali crittografati tra i dispositivi.
Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sicurezza per SRST, Trunk, Gateway, CUBE/SBC
Un gateway abilitato Cisco Unified survivable Remote Site Telephony (SRST) offre attività di elaborazione delle chiamate limitate se il Cisco Unified CM su istanza dedicata non riesce a completare la chiamata.
I gateway abilitati SRST sicuri contengono un certificato autofirmato. Dopo che un partner esegue attività di configurazione SRST in Amministrazione Unified CM, Unified CM utilizza una connessione TLS per eseguire l'autenticazione con il servizio di provider di certificati nel gateway abilitato SRST. Unified CM recupera il certificato dal gateway abilitato SRST e aggiunge il certificato al database Unified CM.
Una volta che il partner reimposta i dispositivi dipendenti in Amministrazione Unified CM, il server TFTP aggiunge il certificato gateway abilitato SRST al file cnf.xml del telefono e invia il file al telefono. Un telefono sicuro quindi utilizza una connessione TLS per interagire con il gateway abilitato SRST.
Si consiglia di disporre di trunk sicuri per la chiamata che ha origine da Cisco Unified CM al gateway per chiamate PSTN in uscita o per attraversamento attraverso l'Cisco Unified Border Element (CUBE).
I trunk SIP possono supportare chiamate sicure sia per la segnalazione che per i supporti; TLS fornisce la crittografia dei segnali e SRTP fornisce la crittografia multimediale.
Protezione delle comunicazioni tra Cisco Unified CM e CUBE
Per comunicazioni sicure tra Cisco Unified CM e CUBE, partner/clienti devono utilizzare un certificato autofirmato o certificati firmati da CA.
Per certificati autofirmati:
-
CUBE e Cisco Unified CM generano certificati autofirmati
-
CUBE esporta il certificato Cisco Unified CM
-
Cisco Unified CM esporta certificato in CUBE
Per certificati firmati da CA:
-
Il client genera una coppia di chiavi e invia una richiesta di firma del certificato (CSR) all'autorità di certificazione (CA)
-
La CA la firma con la propria chiave privata, creando un certificato di identità
-
Il client installa l'elenco di certificati radice CA e intermedie attendibili e il certificato di identità
Sicurezza per endpoint remoti
Con endpoint mobili Remote Access (MRA), i segnali e i supporti sono sempre crittografati tra gli endpoint MRA e Expressway nodi. Se viene utilizzato il protocollo Interactive Connectivity Bluetooth (ICE) per gli endpoint MRA, sono richiesti segnali e crittografia multimediale per gli endpoint MRA. Tuttavia, la crittografia dei segnali e dei supporti tra Expressway-C e i server Unified CM interni, endpoint interni o altri dispositivi interni richiede la modalità mista o l'OAuth SIP.
Cisco Expressway firewall sicuro trasversale e supporto lato linea per le iscrizioni Unified CM. Unified CM fornisce il controllo delle chiamate sia per gli endpoint mobili che per gli endpoint locali. La segnalazione attraversa la Expressway tra l'endpoint remoto e Unified CM. Il contenuto multimediale attraversa Expressway soluzione temporanea e viene inoltrato direttamente tra gli endpoint. Tutti i file multimediali vengono crittografati tra il Expressway-C e l'endpoint mobile.
Qualsiasi soluzione MRA richiede Expressway e Unified CM, con soft client e/o endpoint fissi compatibili MRA. La soluzione può includere, se si desidera, il servizio IM and Presence e Unity Connection.
Riepilogo del protocollo
La tabella seguente mostra i protocolli e i servizi associati utilizzati nella soluzione Unified CM.
Protocollo |
Sicurezza |
Servizio |
---|---|---|
SIP |
TLS |
Sessione sessione: Eseguire l'iscrizione, invitare, ecc. |
HTTPS |
TLS |
Accesso, Provisioning/Configurazione, Directory, Segreteria telefonica visiva |
Multimediale |
SRTP |
Media: Audio, video, condivisione contenuto |
XMPP |
TLS |
Messaggistica immediata, Presenza, Federazione |
Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opzioni di configurazione
L'istanza dedicata offre ai partner la flessibilità di personalizzare i servizi per gli utenti finali attraverso il controllo completo delle configurazioni del due giorno. Di conseguenza, il partner è il solo responsabile della corretta configurazione del servizio di istanza dedicata per l'ambiente dell'utente finale. Ciò include, ma non solo:
-
Scelta di chiamate sicure/non sicure, protocolli sicuri/non sicuri come SIP/sSIP, http/https e comprensione dei rischi associati.
-
Per tutti gli indirizzi MAC non configurati come SIP sicuro in istanza dedicata, un utente attacchi può inviare il messaggio di registrazione SIP utilizzando tale indirizzo MAC ed essere in grado di effettuare chiamate SIP, determinando una frode ai numeri a numeri. Il requisito è che l'utente dannoso può registrare il relativo dispositivo/software SIP in un'istanza dedicata senza autorizzazione, se conosce l'indirizzo MAC di un dispositivo registrato nell'istanza dedicata.
-
Expressway di chiamata elettronica, i criteri di trasformazione e ricerca devono essere configurati per evitare le frodi ai numeri a numeri. Per ulteriori informazioni su come prevenire le frodi a numeri a numeri verde mediante Expressway, fare riferimento alla sezione Sicurezza per Expressway C e Expressway-E di Collaboration SRND.
-
Configurazione del piano di chiamata per garantire che gli utenti possano chiamare solo le destinazioni consentite, ad esempio vietando chiamate nazionali/internazionali, le chiamate di emergenza vengono indirizzate correttamente, ecc. Per ulteriori informazioni sull'applicazione di limitazioni utilizzando il piano di chiamata, fare riferimento alla sezione Piano di chiamata di Collaboration SRND.
Requisiti di certificato per connessioni sicure in Istanza dedicata
Per l'istanza dedicata, Cisco fornirà il dominio e firma tutti i certificati per le applicazioni UC utilizzando un'autorità di certificazione pubblica (CA).
Istanza dedicata - numeri di porta e protocolli
Nelle tabelle seguenti vengono descritti le porte e i protocolli supportati nell'istanza dedicata. Le porte utilizzate per un determinato cliente dipendono dalla distribuzione e dalla soluzione del cliente. I protocolli dipendono dalle preferenze del cliente (SCCP vs SIP), dai dispositivi locali esistenti e dal livello di sicurezza per determinare quali porte devono essere utilizzate in ciascuna distribuzione.
L'istanza dedicata non consente la traduzione dell'indirizzo di rete (NAT) tra endpoint e Unified CM poiché alcune funzioni del flusso di chiamata non funzionano, ad esempio la funzione mid-call.
Istanza dedicata – Porte cliente
Le porte disponibili per i clienti, tra l'istanza locale del cliente e l'istanza dedicata, sono riportate nella Tabella 1 Porte cliente istanza dedicata. Tutte le porte elencate di seguito sono per il traffico dei clienti che passa attraverso i collegamenti peering.
La porta SNMP è aperta per impostazione predefinita solo per Cisco Emergency Responder per supportarne la funzionalità. Poiché non supportiamo partner o clienti nel monitoraggio delle applicazioni UC distribuite nel cloud Istanza dedicata, non consentiamo l'apertura della porta SNMP per altre applicazioni UC.
Le porte nell'intervallo da 5063 a 5080 sono riservate da Cisco ad altre integrazioni cloud; si consiglia agli amministratori di partner o clienti di non utilizzare queste porte nelle relative configurazioni.
Protocol |
TCP/UDP |
Source |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
Applicazioni UC Non consentito per le applicazioni Cisco Expressway. |
Maggiore di 1023 |
22 |
Amministrazione |
Tftp |
UDP |
Endpoint |
Unified CM |
Maggiore di 1023 |
69 |
Supporto endpoint preesistente |
LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
389 |
Sincronizzazione rubrica con LDAP cliente |
HTTPS |
TCP |
Browser |
Applicazioni UC |
Maggiore di 1023 |
443 |
Accesso Web per interfacce di auto assistenza e amministrazione |
Posta in uscita (SECURE) |
TCP |
Applicazione UC |
CUCxn |
Maggiore di 1023 |
587 |
Utilizzato per comporre e inviare messaggi sicuri a tutti i destinatari designati |
LDAP (PROTETTO) |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
636 |
Sincronizzazione rubrica con LDAP cliente |
H323 |
TCP |
Porta |
Unified CM |
Maggiore di 1023 |
1720 |
Segnale chiamata |
H323 |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
1720 |
Segnale chiamata |
SCCP |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
2000 |
Segnale chiamata |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Maggiore di 1023 |
2000 |
Segnale chiamata |
MGCP |
UDP |
Porta |
Porta |
Maggiore di 1023 |
2427 |
Segnale chiamata |
Backhaul MGCP |
TCP |
Porta |
Unified CM |
Maggiore di 1023 |
2428 |
Segnale chiamata |
SCCP (PROTETTO) |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
2443 |
Segnale chiamata |
SCCP (PROTETTO) |
TCP |
Unified CM |
Unified CM, Gateway |
Maggiore di 1023 |
2443 |
Segnale chiamata |
Verifica attendibilità |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2445 |
Fornitura del servizio di verifica dell'attendibilità agli endpoint |
Cti |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2748 |
Connessione tra applicazioni CTI (JTAPI/TSP) e CTIManager |
CTI sicuro |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2749 |
Connessione sicura tra applicazioni CTI (JTAPI/TSP) e CTIManager |
Catalogo globale LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
3268 |
Sincronizzazione rubrica con LDAP cliente |
Catalogo globale LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
3269 |
Sincronizzazione rubrica con LDAP cliente |
Servizio CAPF |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
3804 |
Porta di ascolto CAPF (Certificate Authority Proxy Function) per il rilascio di certificati significativi locali (LSC) a telefoni IP |
SIP |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
5060 |
Segnale chiamata |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Maggiore di 1023 |
5060 |
Segnale chiamata |
SIP (PROTETTO) |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
5061 |
Segnale chiamata |
SIP (PROTETTO) |
TCP |
Unified CM |
Unified CM, Gateway |
Maggiore di 1023 |
5061 |
Segnale chiamata |
SIP (OAUTH) |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
5090 |
Segnale chiamata |
XMPP |
TCP |
Jabber Client |
Cisco IM&P |
Maggiore di 1023 |
5222 |
Messaggistica immediata e presenza |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6970 |
Download di configurazione e immagini per gli endpoint |
HTTPS |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6971 |
Download di configurazione e immagini per gli endpoint |
HTTPS |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6972 |
Download di configurazione e immagini per gli endpoint |
HTTP |
TCP |
Jabber Client |
CUCxn |
Maggiore di 1023 |
7080 |
Notifiche segreteria telefonica |
HTTPS |
TCP |
Jabber Client |
CUCxn |
Maggiore di 1023 |
7443 |
Notifiche di segreteria telefonica sicura |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
7501 |
Utilizzato dal servizio di ricerca intercluster (ILS) per l'autenticazione basata su certificato |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
7502 |
Utilizzato da ILS per l'autenticazione basata su password |
IMAP |
TCP |
Jabber Client |
CUCxn |
Maggiore di 1023 |
7993 |
IMAP su TLS |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
8080 |
URI rubrica per supporto endpoint legacy |
HTTPS |
TCP |
Browser, Endpoint |
Applicazioni UC |
Maggiore di 1023 |
8443 |
Accesso Web per interfacce di auto assistenza e amministrazione, UDS |
HTTPS |
TCP |
Telefono |
Unified CM |
Maggiore di 1023 |
9443 |
Ricerca contatto autenticata |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
9444 |
Funzione di gestione delle cuffie |
RTP/SRTP sicuro |
UDP |
Unified CM |
Telefono |
Da 16384 a 32767 * |
Da 16384 a 32767 * |
Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata) |
RTP/SRTP sicuro |
UDP |
Telefono |
Unified CM |
Da 16384 a 32767 * |
Da 16384 a 32767 * |
Multimediale (audio) - Musica in attesa, Annunciatore, Bridge conferenza software (aperto in base ai segnali di chiamata) |
COBRAS |
TCP |
Client |
CUCxn |
Maggiore di 1023 |
20532 |
Backup e ripristino di Application Suite |
ICMP |
ICMP |
Endpoint |
Applicazioni UC |
n/a |
n/a |
Ping |
ICMP |
ICMP |
Applicazioni UC |
Endpoint |
n/a |
n/a |
Ping |
DNS | UDP e TCP |
Inoltro DNS |
Server DNS istanza dedicata |
Maggiore di 1023 |
53 |
Inoltri DNS locali cliente a server DNS istanza dedicata. Per ulteriori informazioni, vedere requisiti DNS . |
* Alcuni casi speciali possono utilizzare un intervallo maggiore. |
Istanza dedicata - porte OTT
La seguente porta può essere utilizzata da clienti e partner per l'impostazione MRA (Mobile and Remote Access):
Protocollo |
TCP/UCP |
Source |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
---|---|---|---|---|---|---|
RTP/RTCP SICURO |
UDP |
Expressway C |
Client |
Maggiore di 1023 |
36000-59999 |
Contenuto multimediale sicuro per chiamate MRA e B2B |
Trunk SIP inter-op tra multitenant e istanza dedicata (solo per trunk basato su registrazione)
È necessario consentire il seguente elenco di porte sul firewall del cliente per il trunk SIP basato sulla registrazione che si connette tra il multitenant e l'istanza dedicata.
Protocollo |
TCP/UCP |
Source |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multitenant Webex Calling |
Client |
Maggiore di 1023 |
8000-48198 |
Contenuto multimediale da multitenant Webex Calling |
Istanza dedicata - porte UCCX
Il seguente elenco di porte può essere utilizzato da clienti e partner per la configurazione di UCCX.
Protocollo |
TCP / UCP |
Source |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
---|---|---|---|---|---|---|
Ssh |
TCP |
Client |
UCCX |
Maggiore di 1023 |
22 |
SFTP e SSH |
Informix |
TCP |
Client o server |
UCCX |
Maggiore di 1023 |
1504 |
Porta del database Contact Center Express |
SIP |
UDP e TCP |
Server SIP GW o MCRP |
UCCX |
Maggiore di 1023 |
5065 |
Comunicazione con i nodi GW e MCRP remoti |
XMPP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
5223 |
Connessione XMPP sicura tra il server Finesse e le applicazioni di terze parti personalizzate |
Cvd |
TCP |
Client |
UCCX |
Maggiore di 1023 |
6999 |
Editor per applicazioni CCX |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
7443 |
Connessione BOSH sicura tra il server Finesse e i desktop degli agenti e del supervisore per la comunicazione su HTTPS |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8080 |
I client di report dati in diretta si connettono a un server socket.IO |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8081 |
Il browser client tenta di accedere all'Cisco Unified Web intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8443 |
Accesso amministratore GUI, RTMT, DB su SOAP |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8444 |
Cisco Unified web intelligence center |
HTTPS |
TCP |
Browser e client REST |
UCCX |
Maggiore di 1023 |
8445 |
Porta sicura per Finesse |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8447 |
HTTPS - Guida online di Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8553 |
I componenti Single Sign-On (SSO) accedono a questa interfaccia per conoscere lo stato operativo di Cisco IdS. |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
9080 |
Client che tentano di accedere a trigger o documenti HTTP / prompt / grammatica / dati in diretta. |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
9443 |
Porta sicura utilizzata per rispondere ai client che tentano di accedere ai trigger HTTPS |
TCP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12014 |
Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO |
TCP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12015 |
Questa è la porta in cui i client di report dati in diretta possono connettersi alla socket.Server IO |
Cti |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12028 |
Client CTI di terze parti a CCX |
RTP (multimediale) |
TCP |
Endpoint |
UCCX |
Maggiore di 1023 |
Maggiore di 1023 |
Porta multimediale aperta dinamicamente come necessario |
RTP (multimediale) |
TCP |
Client |
Endpoint |
Maggiore di 1023 |
Maggiore di 1023 |
Porta multimediale aperta dinamicamente come necessario |
Sicurezza del cliente
Protezione di Jabber e Webex con OAuth SIP
I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato significativo in locale (LSC), che non richiede l'abilitazione della funzione proxy dell'autorità di certificazione (CAPF) (anche per MRA). È stata introdotta la modalità OAuth SIP con o senza la modalità mista in Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.
In Cisco Unified CM 12.5, è disponibile una nuova opzione nel Profilo di sicurezza telefono che consente la crittografia senza LSC/CAPF, utilizzando il token Single Transport Layer Security (TLS) + OAuth in SIP REGISTER. Expressway-C utilizzano l'API amministrativa del servizio Web XML (AXL) per informare Cisco Unified CM del server SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando si stabilisce (autenticazione) TLS reciproca connessione sicura.
L'autenticazione OAUTH SIP abilita la crittografia multimediale e dei segnali senza un certificato endpoint (LSC).
Cisco Jabber utilizza porte ephemeral e porte sicure 6971 e 6972 porte tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non sicura per il download tramite HTTP.
Ulteriori dettagli sulla configurazione OAuth SIP: Modalità SIP OAuth.
Requisiti DNS
Per l'istanza dedicata, Cisco fornisce il nome di dominio completo per il servizio in ciascuna regione con il seguente formato ..wxc-di.webex.com ad esempio, xyz.amer.wxc-di.webex.com.
Il valore 'cliente' viene fornito dall'amministratore come parte della procedura guidata di configurazione iniziale (FTSW). Per ulteriori informazioni, fare riferimento a Attivazione servizio istanza dedicata.
I record DNS per nome di dominio completo sistema devono essere risolvibili dal server DNS interno del cliente per supportare i dispositivi locali che si connettono all'istanza dedicata. Per facilitare la risoluzione, il cliente deve configurare un server di inoltro condizionale, per questo nome di dominio completo, sul relativo server DNS che punta al servizio DNS per istanza dedicata. Il servizio DNS istanza dedicata è regionale e può essere raggiunto, tramite peering all'istanza dedicata, utilizzando i seguenti indirizzi IP come indicato nella tabella seguente Indirizzo IP servizio istanza dedicata DNS.
Regione/DC | Indirizzo IP servizio DNS istanza dedicata |
Esempio di inoltro condizionale |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Peccato |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
L'opzione ping è disabilitata per gli indirizzi IP del server DNS menzionati sopra per motivi di sicurezza.
Fino a quando non viene posto l'inoltro condizionale, i dispositivi non saranno in grado di iscriversi all'istanza dedicata dalla rete interna dei clienti tramite i collegamenti di peering. L'inoltro condizionale non è richiesto per l'iscrizione tramite dispositivo mobile e Remote Access (MRA), poiché tutti i record DNS esterni richiesti per facilitare l'esecuzione di MRA verranno predisposti da Cisco.
Quando si utilizza l'applicazione Webex come soft client di chiamata su istanza dedicata, è necessario configurare un profilo UC Manager in Control Hub per il dominio del servizio vocale (VSD) di ciascuna regione. Per ulteriori informazioni, fare riferimento ai profili UC Manager in Cisco Webex Control Hub. L'applicazione Webex sarà in grado di risolvere automaticamente il problema Expressway Edge del cliente senza alcun intervento dell'utente finale.
Il dominio del servizio vocale verrà fornito al cliente come parte del documento di accesso del partner una volta completata l'attivazione del servizio.
Utilizzare un router locale per la risoluzione DNS del telefono
Per i telefoni che non hanno accesso ai server DNS aziendali, è possibile utilizzare un router Cisco locale per inoltrare le richieste DNS al DNS cloud dell'istanza dedicata. Ciò elimina la necessità di distribuire un server DNS locale e fornisce supporto DNS completo, inclusa la memorizzazione nella cache.
Configurazione di esempio :
!
server DNS IP
nome-server IP <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
L'utilizzo del DNS in questo modello di distribuzione è specifico per i telefoni e può essere utilizzato solo per risolvere i nomi di dominio completi con il dominio dell'istanza dedicata dei clienti.
Riferimenti
-
Cisco Collaboration 12.x Solution Reference Network Aziendale (SRND), Argomento sicurezza: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Guida alla sicurezza per Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html