- ホーム
- /
- 投稿記事
Webex Calling のセキュリティ要件
この記事は、ネットワーク管理者、特に組織内の Webex Calling を使用したいファイアウォールとプロキシ セキュリティ管理者を対象としています。
ファイアウォールのポート参照情報とアクセス要件については、「Cisco Webex Calling のポート参照情報」を参照してください。
エンドポイントの要件
Webex Calling Edge
SIP 登録または発信を行うには、次の手順を実行します。
-
アクティブな Edge ノードの SIP エンドポイントのホスト アドレスを検出します。
-
ユーザーとデバイスの構成に関する必須条件を満たします。
-
エンドポイントにパブリック ネットワーク へのネットワーク接続があることを確認し、サービス検出を開始します。
-
地域またはデータセンター固有のプロビジョニング設定を使用して、エンドポイントをブートストラップする必須条件を満たします。この設定により、サービス検出に使用できる適切なドメイン名のサフィックスを取得できます。
IPv4 と IPv6 の比較
デバイスは、シングル バージョンまたはデュアル スタック モードで動作します。優先プロトコルへの変更は設定によって決定されるもので、サービス検出の一部ではありません。
-
シングル スタック モード: 1 つの IP プロトコル (例: IPv4) のみを有効にし、他のプロトコル アドレスを無視します。
-
デュアル スタック モード: 設定を通じて優先 IP バージョンを選択します。
クライアントは、すべての優先アドレスの優先度が、その IP のすべてのアドレスより低い (すなわち優先) と見なします。IPv4 が優先される場合、すべての IPv4 アドレスは IPv6 アドレスより先に試行されます。すべてのアドレスで障害が発生した場合、最も優先順位の低い優先プロトコル アドレスからサイクルが再開します。
モバイル クライアントはプッシュ通知を受信すると登録され、過去の登録に基づいて最適なモードを選択します。
DNS SRV アドレスからのホスト アドレスの解決
プロビジョニングの際に取得したエンドポイント設定ファイルでは、アクセス エッジ サービスを検出するためのドメイン名がドメイン インジケータによって指定されています。ドメイン名の例は次のとおりです。
wxc.edge.bcld.webex.com
この例では、このドメインに対して DNS SRV ルックアップを実行するエンドポイントから、以下のような応答がある可能性があります。
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com
この場合、SRV レコードは 3 つの A レコードを示しています。
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
この例では、すべてのホストは異なる重みと優先度でポート 5061 への接続をアドバタイズされます。
エンドポイントの要件は以下のとおりです。
-
エンドポイントはプレフィックスとして
_sips._tcp
(サービスとプロトコルの組み合わせ) を使用し、TLS ベースの通信を開始するためのホスト アドレスを取得するために DNS SRV ルックアップを実行する必要があります。 -
エンドポイントは、DNS SRV アドレスからのホスト アドレスの解決セクションに記載されている条件について DNS SRV ルックアップを実行する必要があります。
-
エンドポイントは、各ホスト アドレスに対してアドバタイズされたホスト、ポート、重み、優先度に従う必要があります。また、SIP 登録中にソケット接続を作成する場合、ポートに対するホストのアフィニティを作成する必要があります。
-
DNS SRV レコードの使用に固有の、優先度と重みに基づくホストの選択基準については、RFC 2782 で説明されています。
SIP とメディアの要件
要件 |
説明 |
---|---|
公開鍵の暗号化に必要な信頼証明書 |
Webex 証明書の署名機関およびデバイスに必要な Root CA についての詳細は記事を参照 |
セキュアな SIP でサポートされる TLS バージョン |
TLS 1.2 |
セキュアな SIP でサポートされる TLS 暗号 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
セキュア メディアでサポートされる SRTP キー |
AES_CM_128_HMAC_SHA1_80 |
mTLS (相互 TLS) を使用したセキュアな SIP の要件
要件の詳細をこちらで説明します。
トランクからのコールの認証には、署名済みの証明書が必要です。証明書は、以下の要件を満たす必要があります。
-
証明書は、「Cisco Webex 音声およびビデオ プラットフォームへのコールでサポートされているルート証明機関は?」に記載されている CA によって署名されている必要があります。
-
「Cisco Webex 音声およびビデオ プラットフォームへのコールでサポートされているルート証明機関」に記載されている信頼バンドルを CUBE にアップロードします。
-
証明書は、以下のとおり常に有効である必要があります。
-
署名済み証明書には、有効期限が必要です。
-
ルート証明書または中間証明書には有効期限が必要で、失効したものは使用できません。
-
クライアントとサーバーで使用する証明書には、署名が必要です。
-
証明書には、Control Hub で選択された完全修飾ドメイン名 (FQDN) を持つ証明書の共通名またはサブジェクト代替名 (SAN) に、FQDN が含まれている必要があります。以下に例を挙げます。
-
組織の Control Hub から FQDN が london.lgw.cisco.com:5061 として設定されたトランクでは、証明書の共通名またはサブジェクト代替名に london.lgw.cisco.com が含まれている必要があります。
-
組織の Control Hub から SRV が london.lgw.cisco.com として設定されたトランクでは、証明書の共通名またはサブジェクト代替名に london.lgw.cisco.com が含まれている必要があります。SRV アドレスが (CNAME/A レコード/IP アドレス) に解決するレコードは、SAN では任意です。
-
-
証明書は複数のローカルゲートウェイと共有できますが、FQDN の要件が満たされていることを確認してください。
-
範囲外
この記事には、ネットワーク セキュリティに関する以下の情報は含まれていません。
-
CA および暗号に関する F5 の要件
-
HTTP ベースの API による Webex のファイアウォール ルールのダウンロード
-
信頼バンドルの API
-
ファイアウォールの要件および ALG 無効化