Questo documento è incentrato principalmente sui requisiti di rete e di sicurezza per la soluzione di istanza dedicata, incluso l'approccio a più livelli alle caratteristiche e funzionalità che forniscono accesso fisico sicuro, rete protetta, endpoint sicuri e applicazioni Cisco UC sicure.
Requisiti di rete per l'istanza dedicata
L'istanza dedicata di Webex Calling fa parte del portfolio Cisco Cloud Calling, basato sulla tecnologia di collaborazione Cisco Unified Communications Manager (Cisco Unified CM). L'istanza dedicata offre soluzioni voce, video, messaggistica e mobilità con le funzioni e i vantaggi di telefoni IP Cisco , dispositivi mobili e client desktop che si collegano in modo sicuro all'istanza dedicata.
Questo articolo è destinato agli amministratori di rete, in particolare agli amministratori della sicurezza del firewall e del proxy che desiderano utilizzare l'istanza dedicata all'interno della propria organizzazione.
Panoramica sulla sicurezza: Sicurezza a livelli
Istanza dedicata utilizza un approccio a più livelli per la sicurezza. I livelli comprendono:
Accesso fisico
Rete
Endpoint
Applicazioni UC
Nelle sezioni seguenti vengono descritti i livelli di sicurezza in Istanza dedicata distribuzioni.
Sicurezza fisica
È importante fornire sicurezza fisica alle posizioni di Equinix Meet-Me Room e Cisco Istanza dedicata Strutture di centri dati. Quando la sicurezza fisica è compromessa, possono essere avviati semplici attacchi, ad esempio l'interruzione del servizio a causa dell'interruzione dell'alimentazione agli switch di un cliente. Con l'accesso fisico, gli aggressori possono ottenere accesso a dispositivi server, reimpostare le password e ottenere accesso agli switch. L'accesso fisico facilita anche gli attacchi più sofisticati come gli attacchi man-in-the-middle, motivo per cui il secondo livello di sicurezza, la sicurezza di rete, è fondamentale.
Le unità con crittografia automatica vengono utilizzate in Istanza dedicata Centri dati che ospitano applicazioni UC.
Per ulteriori informazioni sulle procedure di sicurezza generali, fare riferimento alla documentazione disponibile nel seguente percorso: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Sicurezza di rete
I partner devono assicurarsi che tutti gli elementi di rete siano protetti Istanza dedicata infrastruttura (che si collega tramite Equinix). È responsabilità del partner garantire procedure consigliate per la sicurezza , ad esempio:
VLAN separata per voce e dati
Abilita sicurezza porta che limita il numero di indirizzi MAC consentiti per porta, contro il sovraffollamento della tabella CAM
Origine IP Protezione da indirizzi IP falsificati
L'ispezione ARP dinamica (DAI) esamina il protocollo di risoluzione degli indirizzi (ARP) e l'ARP gratuito (GARP) per le violazioni (contro lo spoofing ARP)
802.1x limita l'accesso di rete ai dispositivi di autenticazione sulle VLAN assegnate (i telefoni supportano 802.1x )
Configurazione della qualità del servizio (QoS) per la marcatura appropriata dei pacchetti vocali
Configurazioni delle porte del firewall per bloccare qualsiasi altro traffico
Sicurezza endpoint
Gli endpoint Cisco supportano funzioni di sicurezza predefinite, ad esempio firmware firmato, avvio protetto (modelli selezionati), certificato installato del produttore (MIC) e file di configurazione firmati, che forniscono un determinato livello di sicurezza per gli endpoint.
Inoltre, un partner o un cliente può abilitare ulteriore sicurezza, ad esempio:
Crittografa i servizi telefono IP (tramite HTTPS) per servizi come Extension Mobility interni
Emissione di certificati significativi a livello locale (LSC) dalla funzione proxy autorità di certificazione (CAPF) o un'autorità di certificazione pubblica (CA)
Crittografa i file di configurazione
Crittografa i file multimediali e la segnalazione
Se non vengono utilizzate, disabilitare queste impostazioni: porta del PC, PC Voice VLAN Access, Gratuitous ARP, Web Access, pulsante Impostazioni, SSH, console
Implementazione di meccanismi di sicurezza in Istanza dedicata impedisce il furto di identità dei telefoni e del server Unified CM, la manomissione dei dati e la manomissione dei segnali di chiamata/flusso multimediale.
Istanza dedicata in rete:
Stabilisce e gestisce flussi di comunicazione autenticati
Consente di firmare digitalmente i file prima di trasferire il file sul telefono
Crittografa i flussi multimediali e la segnalazione di chiamata tra telefoni IP Cisco Unified
La funzione Sicurezza per impostazione predefinita fornisce le seguenti funzioni di sicurezza automatica per i telefoni IP Cisco Unified:
Firma dei file di configurazione telefono
Supporto per la crittografia del file di configurazione telefono
HTTPS con Tomcat e altri servizi Web (MIDlet)
Per Unified CM Release 8.0 successiva, queste funzioni di sicurezza sono fornite per impostazione predefinita senza eseguire il client CTL(Certificate Trust List).
Poiché esiste un numero elevato di telefoni in una rete e i telefoni IP dispongono di memoria limitata, Cisco Unified CM funge da archivio attendibile remoto tramite il servizio di verifica attendibile (TVS) in modo che un archivio attendibile del certificato venga inserito su ciascun telefono. I telefoni IP Cisco contattano il server TVS per la verifica poiché non possono verificare una firma o un certificato tramite file CTL o ITL. Avere un archivio attendibile centrale è più facile da gestire rispetto a un archivio attendibile su ciascun telefono IP Cisco Unified.
TVS consente ai telefoni IP Cisco Unified di autenticare i server applicazioni, come servizi EM , rubriche e MIDlet, durante la definizione del protocollo HTTPS.
Il file della lista attendibile iniziale (ITL) viene utilizzato per la sicurezza iniziale, in modo che gli endpoint possano considerare attendibile Cisco Unified CM. ITL non richiede l'abilitazione esplicita di alcuna funzione di sicurezza. Il file ITL viene creato automaticamente quando viene installato il cluster. La chiave privata del server Unified CM Trivial File Transfer Protocol (TFTP) viene utilizzata per firmare il file ITL.
Quando il cluster o il server Cisco Unified CM è in modalità protetta , il file ITL viene scaricato su tutti i telefono IP Cisco supportati. Un partner può visualizzare il contenuto di un file ITL utilizzando il comando CLI, admin:show itl.
I telefoni IP Cisco devono disporre del file ITL per eseguire le seguenti attività:
Comunica in modo sicuro a CAPF, un prerequisito per supportare la crittografia del file di configurazione
Autenticare la firma del file di configurazione
Autenticare i server applicazioni, ad esempio i servizi EM , la rubrica e MIDlet durante la creazione di HTTPS mediante TVS
L'autenticazione di dispositivi, file e segnalazioni si basa sulla creazione del file della lista di attendibilità del certificato (CTL), che viene creato quando il partner o il cliente installa e configura il client della lista di attendibilità del certificato Cisco .
Il file CTL contiene voci per i seguenti server o token di sicurezza:
Token di sicurezza dell'amministratore di sistema (SAST)
Servizi Cisco CallManager e Cisco TFTP in esecuzione sullo stesso server
Funzione proxy autorità di certificazione (CAPF)
Server TFTP
firewall ASA
Il file CTL contiene un certificato server, la chiave pubblica, il numero di serie, la firma, il nome dell'autorità emittente, il nome dell'oggetto, la funzione del server, il nome DNS e l' indirizzo IP per ciascun server.
La sicurezza del telefono con CTL offre le seguenti funzioni:
Autenticazione dei file scaricati TFTP (configurazione, impostazioni internazionali, elenco suonerie e così via) mediante una chiave di firma
Crittografia dei file di configurazione TFTP mediante una chiave di firma
Segnale di chiamata crittografato per telefoni IP
Audio di chiamata crittografato (multimediale) per telefoni IP
Istanza dedicata fornisce la registrazione dell'endpoint e elaborazione chiamata. La segnalazione tra Cisco Unified CM e gli endpoint si basa sul Secure Skinny Client Control Protocol (SCCP) o sul Session Initiation Protocol (SIP) e può essere crittografata utilizzando TLS ( Transport Layer Security ). I file multimediali da/per gli endpoint si basano sul protocollo RTP( Real-time Transport Protocol ) e possono anche essere crittografati utilizzando Secure RTP (SRTP).
L'abilitazione della modalità mista su Unified CM consente la crittografia della segnalazione e del traffico multimediale da e verso gli endpoint Cisco .
Applicazioni UC sicure
La modalità mista è abilitato per impostazione predefinita in Istanza dedicata .
Abilitazione della modalità mista in Istanza dedicata consente di eseguire la crittografia dei segnali e del traffico multimediale da e verso gli endpoint Cisco .
In Cisco Unified CM release 12.5(1), è stata aggiunta una nuova opzione per abilitare la crittografia della segnalazione e dei contenuti multimediali in base a SIP OAuth anziché in modalità mista/ CTL per i client Jabber e Webex . Pertanto, in Unified CM release 12.5(1), SIP OAuth e SRTP possono essere utilizzati per abilitare la crittografia per la segnalazione e i file multimediali per i client Jabber o Webex . L'abilitazione della modalità mista continua a essere richiesta in questo momento per i telefoni IP Cisco e altri endpoint Cisco . È previsto un piano per aggiungere il supporto per SIP OAuth negli endpoint 7800/8800 in una futura release.
Cisco Unity Connection si connette a Unified CM tramite la porta TLS . Quando la modalità di sicurezza del dispositivo non è protetta, Cisco Unity Connection si collega a Unified CM attraverso la porta SCCP .
Per configurare la sicurezza per le porte di messaggistica vocale Unified CM e i dispositivi Cisco Unity che eseguono SCCP o i dispositivi Cisco Unity Connection che eseguono SCCP, un partner può scegliere una modalità di sicurezza del dispositivo protetto per la porta. Se scegli una porta casella vocale autenticata , viene aperta una connessione TLS che autentica i dispositivi tramite uno scambio di certificati reciproci (ciascun dispositivo accetta il certificato dell'altro dispositivo). Se si sceglie una porta casella vocale crittografata , il sistema autentica prima i dispositivi e invia flussi vocali crittografati tra i dispositivi.
Per ulteriori informazioni sulle porte di messaggistica vocale di sicurezza, fare riferimento a: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sicurezza per SRST, trunk, gateway, CUB/SBC
Un gateway abilitato per Cisco Unified Survivable Remote Site Telephony (SRST) fornisce attività di elaborazione delle chiamate limitate se Cisco Unified CM Istanza dedicata non riesce a completare la chiamata.
I gateway abilitati per SRST sicuri contengono un certificato autofirmato. Dopo che un partner esegue le attività di configurazione SRST in Unified CM Administration, Unified CM utilizza una connessione TLS per eseguire l'autenticazione con il servizio del provider di certificati nel gateway abilitato per SRST. Unified CM recupera il certificato dal gateway abilitato per SRST e aggiunge il certificato al database Unified CM .
Dopo che il partner ha ripristinato i dispositivi dipendenti in Unified CM Administration, il server TFTP aggiunge il certificato gateway abilitato per SRST al file cnf.xml del telefono e invia il file al telefono. Un telefono sicuro utilizza quindi una connessione TLS per interagire con il gateway abilitato per SRST.
Si consiglia di disporre di trunk sicuri per la chiamata originata da Cisco Unified CM al gateway per le chiamate PSTN in uscita o che attraversano Cisco Unified Border Element (CUBE).
I SIP trunk possono supportare chiamate protette sia per la segnalazione che per i file multimediali; TLS fornisce la crittografia dei segnali mentre SRTP fornisce la crittografia multimediale.
Sicurezza delle comunicazioni tra Cisco Unified CM e CUBE
Per comunicazioni sicure tra Cisco Unified CM e CUBE, i partner/clienti devono utilizzare un certificato autofirmato CA.
Per i certificati autofirmati:
CUBE e Cisco Unified CM generano certificati autofirmati
CUBE esporta il certificato in Cisco Unified CM
Cisco Unified CM esporta il certificato in CUBE
Per i certificati firmati CA:
Il client genera una coppia di chiavi e invia una Richiesta di firma del certificato (CSR) autorità di certificazione (CA)
L'Autorità di certificazione lo firma con la sua chiave privata, creando un certificato di identità
Il client installa l'elenco di certificati CA radice e intermediari attendibili e il certificato di identità
Sicurezza per endpoint remoti
Con gli endpoint di Remote Access (MRA), la segnalazione e i contenuti multimediali vengono sempre crittografati tra gli endpoint MRA e i nodi Expressway. Se viene utilizzato il protocollo ICE (Interactive Connectivity Establishment) per gli endpoint MRA, è necessaria la segnalazione e la crittografia multimediale degli endpoint MRA. Tuttavia, la crittografia della segnalazione e dei supporti tra Expressway-C e i server Unified CM interni, gli endpoint interni o altri dispositivi interni richiede la modalità mista o SIP OAuth.
Cisco Expressway fornisce attraversamento sicuro del firewall e supporto lato linea per le registrazioni Unified CM . Unified CM fornisce il controllo chiamata per endpoint mobili e in sede . La segnalazione attraversa la soluzione Expressway tra l'endpoint remoto e Unified CM. Il supporto attraversa la soluzione Expressway e viene inoltrato direttamente tra gli endpoint. Tutti i file multimediali vengono crittografati tra Expressway-C e l'endpoint mobile.
Qualsiasi soluzione MRA richiede Expressway e Unified CM, con soft client compatibili con MRA e/o endpoint fissi. La soluzione può includere il servizio IM e Presence Service e Unity Connection.
Riepilogo protocollo
La tabella seguente mostra i protocolli e i servizi associati utilizzati nella soluzione Unified CM .
Protocol |
Sicurezza |
Servizio |
|---|---|---|
SIP |
TLS |
Impostazione sessione: Registrati, Invita, ecc. |
HTTPS |
TLS |
Accesso, Provisioning/Configurazione, Rubrica, Segreteria telefonica visiva |
Multimediale |
SRTP |
Supporti: Audio, video, condivisione di contenuto |
XMPP |
TLS |
messaggistica istantanea, Presenza, Federazione |
Per ulteriori informazioni sulla configurazione MRA, vedere: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opzioni di configurazione
Il Istanza dedicata fornisce al Partner la flessibilità di personalizzare i servizi per gli utenti finali attraverso il controllo totale delle configurazioni del secondo giorno. Di conseguenza, il Partner è l'unico responsabile della corretta configurazione di Istanza dedicata servizio per l'ambiente dell'utente finale. Ciò include, a titolo esemplificativo:
Scelta di chiamate sicure/non protette, protocolli sicuri/non protetti come SIP/sSIP, http/https ecc. e comprensione dei rischi associati.
Per tutti gli indirizzi MAC non configurati come secure- SIP in Istanza dedicata , un utente malintenzionato può inviare un messaggio nel registro SIP utilizzando tale indirizzo MAC ed essere in grado di effettuare chiamate SIP , con conseguente frode a pagamento. Il vantaggio è che l'attaccante può registrare il proprio dispositivo SIP su Istanza dedicata senza autorizzazione se conoscono l' indirizzo MAC di un dispositivo registrato in Istanza dedicata .
I criteri di chiamata Expressway-E e le regole di trasformazione e ricerca devono essere configurati per prevenire le frodi a pagamento. Per ulteriori informazioni su come prevenire le frodi a pagamento utilizzando Expressway, fare riferimento alla sezione Sicurezza per Expressway C ed Expressway-E di SRND collaborazione .
Configurazione del piano di chiamata per garantire che gli utenti possano chiamare solo destinazioni consentite, ad esempio, divieto di chiamate nazionali/internazionali, chiamate di emergenza indirizzate correttamente ecc. Piano di numerazione sezione di Collaboration SRND.
Requisiti del certificato per connessioni sicure in istanza dedicata
Per l'istanza dedicata, Cisco fornisce il dominio e firma tutti i certificati per le applicazioni UC utilizzando un'autorità di autorità di certificazione (CA) pubblica.
Istanza dedicata: numeri di porta e protocolli
Nelle tabelle seguenti vengono descritte le porte e i protocolli supportati nell'istanza dedicata. Le porte utilizzate per un determinato cliente dipendono dalla distribuzione e dalla soluzione del cliente. I protocolli dipendono dalla preferenza del cliente (SCCP vs SIP), dai dispositivi in sede esistenti e dal livello di sicurezza per determinare quali porte devono essere usate in ogni distribuzione.
 |
L'istanza dedicata non consente il NAT (Network Address Translation) tra gli endpoint e Unified CM poiché alcune funzioni del flusso di chiamata non funzionano, ad esempio la funzione durante la chiamata. |
Istanza dedicata - Porte cliente
Le porte disponibili per i clienti - tra il cliente in sede e l'istanza dedicata sono mostrate nella tabella 1 Porte cliente istanza dedicata . Tutte le porte elencate di seguito servono per il traffico del cliente che attraversa i collegamenti di peering.
|
La porta SNMP è supportata solo per la funzionalità CER e non per altri strumenti di monitoraggio di terze parti. |
 |
Le porte nell'intervallo da 5063 a 5080 sono riservate da Cisco ad altre integrazioni cloud; si consiglia agli amministratori di partner o clienti di non utilizzare queste porte nelle relative configurazioni. |
Protocol |
TCP/UDP |
Origine |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
Applicazioni UC |
Maggiore di 1023 |
22 |
Amministrazione |
TFTP |
UDP |
Endpoint |
Unified CM |
Maggiore di 1023 |
69 |
Supporto endpoint legacy |
LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
389 |
Sincronizzazione rubrica con LDAP del cliente |
HTTPS |
TCP |
Browser |
Applicazioni UC |
Maggiore di 1023 |
443 |
Accesso Web per interfacce di assistenza autonoma e di amministrazione |
Posta in uscita (SICURA) |
TCP |
Applicazione UC |
CUCxn |
Maggiore di 1023 |
587 |
Utilizzata per comporre e inviare messaggi sicuri ai destinatari designati |
LDAP (SECURE) |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
636 |
Sincronizzazione rubrica con LDAP del cliente |
H323 |
TCP |
Porta |
Unified CM |
Maggiore di 1023 |
1720 |
Segnale di chiamata |
H323 |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
1720 |
Segnale di chiamata |
SCCP |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
2000 |
Segnale di chiamata |
SCCP |
TCP |
Unified CM |
Unified CM, gateway |
Maggiore di 1023 |
2000 |
Segnale di chiamata |
MGCP |
UDP |
Porta |
Porta |
Maggiore di 1023 |
2427 |
Segnale di chiamata |
MGCP Blackhaul |
TCP |
Porta |
Unified CM |
Maggiore di 1023 |
2428 |
Segnale di chiamata |
SCCP (SECURE) |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
2443 |
Segnale di chiamata |
SCCP (SECURE) |
TCP |
Unified CM |
Unified CM, gateway |
Maggiore di 1023 |
2443 |
Segnale di chiamata |
Trust Verifica |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2445 |
Fornitura del servizio di verifica dell'attendibilità agli endpoint |
CTI |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2748 |
Connessione tra applicazioni CTI (JTAPI/TSP) e CTIManager |
CTI sicuro |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
2749 |
Connessione protetta tra applicazioni CTI (JTAPI/TSP) e CTIManager |
Catalogo globale LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
3268 |
Sincronizzazione rubrica con LDAP del cliente |
Catalogo globale LDAP |
TCP |
Applicazioni UC |
Rubrica esterna |
Maggiore di 1023 |
3269 |
Sincronizzazione rubrica con LDAP del cliente |
Servizio CAPF |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
3804 |
Porta di ascolto CAPF ( autorità di certificazione Proxy Function) per il rilascio di certificati significativi a livello locale ( LSC) su telefoni IP |
SIP |
TCP |
Endpoint |
Unified CM, CUCxn |
Maggiore di 1023 |
5060 |
Segnale di chiamata |
SIP |
TCP |
Unified CM |
Unified CM, gateway |
Maggiore di 1023 |
5060 |
Segnale di chiamata |
SIP (SECURE) |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
5061 |
Segnale di chiamata |
SIP (SECURE) |
TCP |
Unified CM |
Unified CM, gateway |
Maggiore di 1023 |
5061 |
Segnale di chiamata |
SIP (OAUTH) |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
5090 |
Segnale di chiamata |
XMPP |
TCP |
Client Jabber |
Cisco IM&P |
Maggiore di 1023 |
5222 |
messaggistica istantanea e presenza |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6970 |
Download della configurazione e delle immagini sugli endpoint |
HTTPS |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6971 |
Download della configurazione e delle immagini sugli endpoint |
HTTPS |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
6972 |
Download della configurazione e delle immagini sugli endpoint |
HTTP |
TCP |
Client Jabber |
CUCxn |
Maggiore di 1023 |
7080 |
Notifiche di casella vocale |
HTTPS |
TCP |
Client Jabber |
CUCxn |
Maggiore di 1023 |
7443 |
Proteggere le notifiche della casella vocale |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
7501 |
Utilizzata dal servizio di ricerca intercluster (ILS) per l'autenticazione basata su certificato |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maggiore di 1023 |
7502 |
Utilizzata da ILS per l'autenticazione basata su password |
IMAP |
TCP |
Client Jabber |
CUCxn |
Maggiore di 1023 |
7993 |
IMAP su TLS |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
8080 |
URI della directory per il supporto degli endpoint legacy |
HTTPS |
TCP |
Browser, endpoint |
Applicazioni UC |
Maggiore di 1023 |
8443 |
Accesso Web per interfacce di amministrazione e di assistenza autonoma, UDS |
HTTPS |
TCP |
Telefono |
Unified CM |
Maggiore di 1023 |
9443 |
Ricerca contatti autenticati |
HTTP |
TCP |
Endpoint |
Unified CM |
Maggiore di 1023 |
9444 |
Funzione di gestione della cuffia |
Sicurezza RTP/ SRTP |
UDP |
Unified CM |
Telefono |
da 16384 a 32767 * |
da 16384 a 32767 * |
Media (audio) - musica di attesa, Annunciatore, Software Conference Bridge (aperto in base alla segnalazione di chiamata) |
Sicurezza RTP/ SRTP |
UDP |
Telefono |
Unified CM |
da 16384 a 32767 * |
da 16384 a 32767 * |
Media (audio) - musica di attesa, Annunciatore, Software Conference Bridge (aperto in base alla segnalazione di chiamata) |
COBRA |
TCP |
Client |
CUCxn |
Maggiore di 1023 |
20532 |
Suite di applicazioni di backup e ripristino |
ICMP |
ICMP |
Endpoint |
Applicazioni UC |
n/d |
n/d |
Ping |
ICMP |
ICMP |
Applicazioni UC |
Endpoint |
n/d |
n/d |
Ping |
* In alcuni casi speciali potrebbe essere disponibile un intervallo più ampio. |
||||||
Istanza dedicata – Porte OTT
La porta seguente può essere utilizzata da clienti e partner per l'impostazione di Remote Access (MRA):
Protocol |
TCP/UCP |
Origine |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
|---|---|---|---|---|---|---|
SICURO RTP/ RTCP |
UDP |
Expressway C |
Client |
Maggiore di 1023 |
36000-59999 |
Secure Media per chiamate MRA e B2B |
Istanza dedicata – Porte UCCX
Il seguente elenco di porte può essere utilizzato da clienti e partner per la configurazione di UCCX.
Protocol |
TCP /UCP |
Origine |
Destinazione |
Porta di origine |
Porta di destinazione |
Scopo |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Maggiore di 1023 |
22 |
SFTP e SSH |
Informix |
TCP |
Client o server |
UCCX |
Maggiore di 1023 |
1504 |
Porta del database Unified CCX |
SIP |
UDP e TCP |
Server SIP GW o MCRP |
UCCX |
Maggiore di 1023 |
5065 |
Comunicazione con nodi GW e MCRP remoti |
XMPP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
5223 |
Connessione XMPP protetta tra il server Finesse e applicazioni personalizzate di terze parti |
CVD |
TCP |
Client |
UCCX |
Maggiore di 1023 |
6999 |
dall'editor alle applicazioni CCX |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
7443 |
Connessione BOSH protetta tra il server Finesse e i desktop dell'agente e del supervisore per la comunicazione su HTTPS |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8080 |
I client di report dati in diretta si connettono al server socket.IO |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8081 |
Il browser client che tenta di accedere interfaccia Web di Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8443 |
GUI di amministrazione, RTCP, accesso a DB tramite SOAP |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8444 |
interfaccia Web Cisco Unified Intelligence Center |
HTTPS |
TCP |
Client browser e REST |
UCCX |
Maggiore di 1023 |
8445 |
Porta sicura per Finesse |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8447 |
HTTPS - Guida in linea di Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
8553 |
I componenti Single Sign-On (SSO) accedono a questa interfaccia per conoscere lo stato operativo di Cisco IdS. |
HTTP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
9080 |
Client che tentano di accedere a trigger HTTP o documenti/ prompt/grammatiche/ dati in diretta. |
HTTPS |
TCP |
Client |
UCCX |
Maggiore di 1023 |
9443 |
Porta protetta utilizzata per rispondere ai client che tentano di accedere ai trigger HTTPS |
TCP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12014 |
Questa è la porta in cui i client di report dati in diretta possono connettersi al server socket.IO |
TCP |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12015 |
Questa è la porta in cui i client di report dati in diretta possono connettersi al server socket.IO |
CTI |
TCP |
Client |
UCCX |
Maggiore di 1023 |
12028 |
Da client CTI di terze parti a CCX |
RTP(supporto) |
TCP |
Endpoint |
UCCX |
Maggiore di 1023 |
Maggiore di 1023 |
La porta multimediale viene aperta in modo dinamico come necessario |
RTP(supporto) |
TCP |
Client |
Endpoint |
Maggiore di 1023 |
Maggiore di 1023 |
La porta multimediale viene aperta in modo dinamico come necessario |
Sicurezza client
Protezione di Jabber e Webex con SIP OAuth
I client Jabber e Webex vengono autenticati tramite un token OAuth anziché un certificato importante in locale (LSC), che non richiede l' funzione proxy autorità di certificazione CAPF(anche per MRA) dell'autorità di certificazione. SIP OAuth che funziona con o senza la modalità mista è stato introdotto in Cisco Unified CM 12.5(1), Jabber 12.5 ed Expressway X12.5.
In Cisco Unified CM 12.5, è disponibile una nuova opzione nel profilo di sicurezza del telefono che consente la crittografia senza LSC/ CAPF , utilizzando un singolo token TLS ( Transport Layer Security ) + OAuth nel REGISTER SIP . I nodi Expressway-C utilizzano l' API del servizio Web XML amministrativo ( AXL ) per informare Cisco Unified CM della presenza di SN/SAN nel certificato. Cisco Unified CM utilizza queste informazioni per convalidare il certificato Exp-C quando stabilisce una connessione TLS reciproca.
SIP OAuth abilita la crittografia dei supporti e dei segnali senza un certificato endpoint (LSC).
Cisco Jabber utilizza le porte temporanee e le porte di sicurezza 6971 e 6972 tramite connessione HTTPS al server TFTP per scaricare i file di configurazione. La porta 6970 è una porta non protetta per il download tramite HTTP.
Ulteriori dettagli sulla configurazione di SIP OAuth: Modalità SIP OAuth .
Requisiti DNS
Per l'istanza dedicata Cisco fornisce il nome di dominio completo per il servizio in ciascuna regione con il formato seguente<customer> .<region> .wxc-di.webex.com ad esempio, xyz.amer.wxc-di.webex.com .
Il valore 'cliente' viene fornito dall'amministratore come parte dell'installazione procedura di installazione guidata iniziale iniziale (FTSW). Per ulteriori informazioni, fare riferimento a Attivazione servizio istanza dedicata .
I record DNS per questo FQDN devono essere risolvibili dal server DNS interno del cliente per supportare i dispositivi locali che si connettono all'istanza dedicata. Per facilitare la risoluzione, il cliente deve configurare un server di inoltro condizionale, per questo FQDN, sul server DNS punta al servizio DNS istanza dedicata. Il servizio DNS istanza dedicata è regionale e può essere raggiunto, tramite il peering all'istanza dedicata, utilizzando i seguenti indirizzi IP , come menzionato nella tabella seguente Indirizzo IP del servizio DNS istanza dedicata .
Regione/CC |
Indirizzo IP del servizio DNS istanza dedicata | Esempio di inoltro condizionale |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
PECCATO |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
L'opzione pinging è disabilitata per gli indirizzi IP del server DNS menzionati sopra per motivi di sicurezza. |
Fino a quando non viene attivato l'inoltro condizionale, i dispositivi non saranno in grado di eseguire la registrazione nell'istanza dedicata dalla rete interna del cliente tramite i collegamenti di peering. L'inoltro condizionale non è richiesto per la registrazione tramite Remote Access (MRA), poiché tutti i record DNS esterni richiesti per facilitare l'MRA verranno sottoposti a preprovisioning da Cisco.
Quando si utilizza l'applicazione Webex come soft client di chiamata su un'istanza dedicata, è necessario configurare un profilo UC Manager in Control Hub per il dominio del servizio vocale (VSD) di ciascuna regione. Per ulteriori informazioni, fare riferimento a Profili UC Manager in Cisco Webex Control Hub . L'applicazione Webex sarà in grado di risolvere automaticamente il Expressway Edge del cliente senza alcun intervento utente finale .
|
Il dominio del servizio vocale verrà fornito al cliente come parte del documento di accesso del partner una volta completata l'attivazione del servizio. |
Riferimenti
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Argomento Sicurezza: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Guida alla sicurezza per Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
