- ホーム
- /
- 投稿記事
専用インスタンス ソリューションのネットワークとセキュリティ要件は、安全な物理アクセス、ネットワーク、エンドポイント、および Cisco UC アプリケーションを提供する機能と機能に対する階層化されたアプローチです。ネットワーク要件を説明し、エンドポイントをサービスに接続するために使用されるアドレス、ポート、プロトコルをリストします。
専用インスタンスのネットワーク要件
Webex Calling 専用インスタンスは、Cisco Unified Communications Manager (Cisco Unified CM) コラボレーションテクノロジーを搭載した Cisco Cloud Calling ポートフォリオの一部です。 専用インスタンスは、専用インスタンスにセキュアに接続する Cisco IP 電話、モバイル デバイス、デスクトップ クライアントの機能と利点を活用して、音声、ビデオ、メッセージング、モビリティ ソリューションを提供します。
この記事は、ネットワーク管理者、特に組織内で専用インスタンスを使用したいファイアウォールおよびプロキシセキュリティ管理者を対象としています。
セキュリティの概要: レイヤー内のセキュリティ
専用インスタンスは、セキュリティに階層型のアプローチを使用します。 レイヤーには以下が含まれます。
-
物理的なアクセス
-
ネットワーク
-
エンドポイント
-
UC アプリケーション
次のセクションでは、専用インスタンス展開におけるセキュリティのレイヤーについて説明します。
物理的なセキュリティ
Equinix Meet-Me Room の場所と Cisco 専用インスタンス データ センターの施設に物理的なセキュリティを提供することが重要です。 物理的なセキュリティが侵害されると、顧客のスイッチへの電源をシャットダウンすることで、サービスの中断などの簡単な攻撃を開始できます。 物理的なアクセスにより、攻撃者はサーバーデバイスにアクセスしたり、パスワードをリセットしたり、スイッチにアクセスしたりできます。 物理的なアクセスは、中間者攻撃のようなより高度な攻撃も容易になります。 そのため、2番目のセキュリティレイヤ、ネットワークセキュリティが重要です。
自己暗号化ドライブは、UC アプリケーションをホストする専用インスタンス データ センターで使用されます。
一般的なセキュリティ慣行の詳細については、次の場所にあるドキュメントを参照してください。 https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html。
ネットワークセキュリティ
パートナーは、すべてのネットワーク要素が専用インスタンスインフラストラクチャ(Equinix経由で接続)で保護されていることを確認する必要があります。 以下のようなセキュリティのベストプラクティスを確保することは、パートナーの責任です。
-
音声とデータの別々の VLAN
-
CAM テーブルのフラッディングに対して、ポートごとに許可される MAC アドレスの数を制限するポート セキュリティを有効にします。
-
スプーフィングされた IP アドレスに対する IP ソースガード
-
ダイナミックARP検査(DAI)は、アドレス解決プロトコル(ARP)および無償ARP(GARP)の違反(ARPスプーフィングに対する違反)を検証します。
-
802.1x は、割り当てられた VLAN 上のデバイスを認証するため、ネットワーク アクセスを制限する (電話は 802.1x をサポート)
-
音声パケットの適切なマーキングのためのサービス品質(QoS)の設定
-
他のトラフィックをブロックするためのファイアウォールポート構成
エンドポイントのセキュリティ
シスコのエンドポイントは、署名付きファームウェア、セキュアブート(選択されたモデル)、メーカーがインストールした証明書(MIC)、署名付き設定ファイルなどのデフォルトのセキュリティ機能をサポートしており、エンドポイントに一定のセキュリティレベルを提供します。
さらに、パートナーまたは顧客は、次のような追加のセキュリティを有効にできます。
-
エクステンション モビリティなどのサービスの IP 電話サービス(HTTPS 経由)を暗号化する
-
認証局プロキシ機能 (CAPF) または公共認証局 (CA) からローカルで重要な証明書 (LSC) を発行する
-
設定ファイルの暗号化
-
メディアとシグナリングの暗号化
-
使用されていない場合は、これらの設定を無効にします。 PCポート、PC Voice VLAN Access、Gratuitous ARP、Web Access、設定ボタン、SSH、コンソール
専用インスタンスにセキュリティメカニズムを実装することで、電話機と Unified CM サーバのアイデンティティの盗難、データ改ざん、およびコールシグナリング/メディアストリームの改ざんを防ぎます。
ネットワーク経由の専用インスタンス:
-
認証された通信ストリームを確立し、維持する
-
電話機にファイルを転送する前に、ファイルをデジタル署名する
-
Cisco Unified IP 電話間のメディア ストリームとコール シグナリングを暗号化する
デフォルトでのセキュリティは、Cisco Unified IP Phone に次の自動セキュリティ機能を提供します。
-
電話機の設定ファイルの署名
-
電話機の設定ファイルの暗号化をサポート
-
Tomcat およびその他の Web サービス (MIDlets) を使用した HTTPS
Unified CM リリース 8.0 以降では、証明書信頼リスト(CTL)クライアントを実行せずに、これらのセキュリティ機能がデフォルトで提供されます。
信頼検証サービスネットワークには多数の電話機があり、IP 電話にはメモリが限られているため、Cisco Unified CM は信頼検証サービス(TVS)を通じてリモート トラスト ストアとして機能し、証明書の信頼ストアが各電話機に配置される必要がありません。 Cisco IP 電話は、CTL ファイルまたは ITL ファイルで署名または証明書を検証できないため、TVS サーバに検証を依頼します。 中央信頼ストアを持つことは、各 Cisco Unified IP 電話に信頼ストアを持つことよりも簡単に管理できます。
TVS を使用すると、Cisco Unified IP 電話は、HTTPS の確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバを認証できます。
最初の信頼リスト初期信頼リスト(ITL)ファイルは、エンドポイントが Cisco Unified CM を信頼できるように、初期セキュリティに使用されます。 ITL は、明示的に有効にするためのセキュリティ機能を必要としません。 ITL ファイルは、クラスタがインストールされると自動的に作成されます。 Unified CM Trivial File Transfer Protocol(TFTP)サーバの秘密キーは、ITL ファイルに署名するために使用されます。
Cisco Unified CM クラスタまたはサーバが非セキュア モードの場合、ITL ファイルはサポートされているすべての Cisco IP 電話にダウンロードされます。 パートナーは、CLI コマンド admin:show itl を使用して ITL ファイルの内容を表示できます。
Cisco IP 電話は、次のタスクを実行するために ITL ファイルが必要です。
-
構成ファイルの暗号化をサポートするための前提条件である CAPF に安全に通信する
-
設定ファイルの署名を認証する
-
TVS を使用して HTTPS 確立中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバを認証する
デバイス、ファイル、およびシグナリング認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールおよび設定したときに作成される Certificate Trust List(CTL)ファイルの作成に依存します。
CTL ファイルには、次のサーバまたはセキュリティ トークンのエントリが含まれています。
-
システム管理者のセキュリティ トークン (SAST)
-
同じサーバ上で実行されている Cisco CallManager および Cisco TFTP サービス
-
認証局プロキシ機能(CAPF)
-
TFTP サーバ
-
ASA ファイアウォール
CTL ファイルには、サーバ証明書、公開キー、シリアル番号、署名、発行者名、サブジェクト名、サーバ機能、DNS 名、および各サーバの IP アドレスが含まれています。
CTL を使用した電話セキュリティは、次の機能を提供します。
-
署名キーを使用した TFTP ダウンロードファイルの認証(設定、ロケール、リングリストなど)
-
署名キーを使用した TFTP 設定ファイルの暗号化
-
IP 電話の暗号化されたコール シグナリング
-
IP 電話の暗号化された通話音声 (メディア)
専用インスタンスは、エンドポイント登録とコール処理を提供します。 Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol(SCCP)または Session Initiation Protocol(SIP)に基づいており、Transport Layer Security(TLS)を使用して暗号化できます。 エンドポイントからのメディアは Real-time Transport Protocol(RTP)に基づいており、Secure RTP(SRTP)を使用して暗号化することもできます。
Unified CM で混合モードを有効にすると、Cisco エンドポイントからのシグナリングおよびメディア トラフィックの暗号化が有効になります。
セキュア UC アプリケーション
専用インスタンスで混合モードを有効にする混合モードは、専用インスタンスでデフォルトで有効になっています。
専用インスタンスで混合モードを有効にすると、シグナリングとメディア トラフィックの暗号化を Cisco エンドポイントとの間で実行できます。
Cisco Unified CM リリース 12.5(1) では、Jabber および Webex クライアントに対して、混合モード / CTL の代わりに SIP OAuth に基づくシグナリングとメディアの暗号化を有効にする新しいオプションが追加されました。 したがって、Unified CM リリース 12.5(1) では、SIP OAuth と SRTP を使用して、Jabber または Webex クライアントのシグナリングとメディアの暗号化を有効にできます。 現時点では、Cisco IP 電話およびその他の Cisco エンドポイントで混合モードを有効にする必要があります。 今後のリリースで、7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。
ボイス メッセージング セキュリティCisco Unity Connection は、TLS ポートを介して Unified CM に接続します。 デバイスのセキュリティ モードが非セキュアな場合、Cisco Unity Connection は SCCP ポートを介して Unified CM に接続します。
SCCP を実行している Unified CM ボイス メッセージ ポートと Cisco Unity デバイス、または SCCP を実行している Cisco Unity Connection デバイスのセキュリティを設定するには、パートナーはポートのセキュア デバイス セキュリティ モードを選択できます。 認証されたボイスメール ポートを選択すると、TLS 接続が開き、相互証明書交換を使用してデバイスを認証します(各デバイスは他のデバイスの証明書を受け入れます)。 暗号化されたボイスメール ポートを選択した場合、システムは最初にデバイスを認証してから、デバイス間で暗号化された音声ストリームを送信します。
セキュリティボイスメッセージングポートの詳細については、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ
Cisco Unified Survivable Remote Site Telephony(SRST)対応ゲートウェイは、専用インスタンスの Cisco Unified CM がコールを完了できない場合、限られたコール処理タスクを提供します。
セキュアな SRST 対応ゲートウェイには、自己署名証明書が含まれています。 パートナーが Unified CM Administration で SRST 設定タスクを実行した後、Unified CM は TLS 接続を使用して SRST 対応ゲートウェイの証明書プロバイダー サービスで認証します。 Unified CM は、SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。
パートナーが Unified CM Administration で従属デバイスをリセットした後、TFTP サーバは SRST 対応ゲートウェイ証明書を電話機 cnf.xml ファイルに追加し、ファイルを電話機に送信します。 その後、セキュアな電話機は TLS 接続を使用して SRST 対応ゲートウェイと対話します。
Cisco Unified CM から発信された PSTN コールのゲートウェイへのコール、または Cisco Unified Border Element(CUBE)を介したトラバースのコールには、セキュアなトランクを使用することをお勧めします。
SIP トランクは、シグナリングとメディアの両方でセキュアなコールをサポートできます。TLS はシグナリング暗号化、SRTP はメディア暗号化を提供します。
Cisco Unified CM と CUBE 間の通信の保護
Cisco Unified CM と CUBE 間のセキュアな通信では、パートナー/顧客は自己署名証明書または CA 署名証明書のいずれかを使用する必要があります。
自己署名証明書の場合:
-
CUBE と Cisco Unified CM は自己署名証明書を生成します
-
CUBE が Cisco Unified CM に証明書をエクスポートする
-
Cisco Unified CM が CUBE に証明書をエクスポートする
CA 署名付き証明書の場合:
-
クライアントはキーペアを生成し、証明書署名リクエスト(CSR)を認証局(CA)に送信します
-
CA は秘密鍵で署名し、ID 証明書を作成します。
-
クライアントは信頼できる CA ルートおよび仲介証明書のリストと ID 証明書をインストールします
リモートエンドポイントのセキュリティ
Mobile and Remote Access (MRA) エンドポイントでは、シグナリングとメディアは MRA エンドポイントと Expressway ノード間で常に暗号化されます。 MRA エンドポイントに Interactive Connectivity Establishment (ICE) プロトコルが使用されている場合、MRA エンドポイントのシグナリングおよびメディア暗号化が必要です。 ただし、Expressway-C と内部 Unified CM サーバ、内部エンドポイント、またはその他の内部デバイス間のシグナリングとメディアの暗号化には、混合モードまたは SIP OAuth が必要です。
Cisco Expressway は、Unified CM 登録に対してセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。 Unified CM は、モバイルエンドポイントとオンプレミスエンドポイントの両方にコール制御を提供します。 シグナリングは、リモート エンドポイントと Unified CM の間の Expressway ソリューションをトラバースします。 メディアは Expressway ソリューションを横断し、エンドポイント間で直接中継されます。 すべてのメディアは、Expressway-C とモバイル エンドポイント間で暗号化されます。
すべての MRA ソリューションには、Expressway および Unified CM が必要です。MRA 互換のソフト クライアントおよび/または固定エンドポイントが必要です。 オプションで、IM and Presence Service と Unity Connection を含めることができます。
治験実施計画書の概要
次の表に、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。
プロトコル |
セキュリティ |
サービス |
---|---|---|
SIP |
TLS |
セッションの設定: 登録、招待など |
HTTPS |
TLS |
ログオン、プロビジョニング/設定、ディレクトリ、ビジュアル ボイスメール |
メディア |
SRTP(スラップ) |
メディア: 音声、ビデオ、コンテンツ共有 |
XMPP(xmpp)とは |
TLS |
インスタント メッセージング、プレゼンス、フェデレーション |
MRA 設定の詳細については、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
構成オプション
専用インスタンスは、パートナーが 2 日目の設定を完全に制御することで、エンドユーザー向けのサービスを柔軟にカスタマイズできるようにします。 その結果、パートナーは、エンドユーザーの環境に対する専用インスタンスサービスの適切な構成に単独で責任を負います。 これには、以下が含まれますが、これらに限定されません。
-
セキュア/セキュアでないコール、SIP/sSIP、http/https などのセキュア/セキュアでないプロトコルの選択、および関連するリスクの理解。
-
専用インスタンスでセキュアSIPとして設定されていないすべてのMACアドレスについて、攻撃者はそのMACアドレスを使用してSIP Registerメッセージを送信し、SIPコールを発信できるため、料金詐欺が発生します。 攻撃者は、専用インスタンスに登録されているデバイスの MAC アドレスを知っている場合、許可なく SIP デバイス/ソフトウェアを専用インスタンスに登録できます。
-
Expressway-E 通話ポリシー、トランスフォーム、および検索ルールは、料金詐欺を防ぐために設定する必要があります。 Expressway を使用した料金詐欺の防止の詳細については、Collaboration SRNDの「Expressway C および Expressway-E のセキュリティ」セクションを参照してください。
-
ダイヤル プランの設定により、国内/国際ダイヤルの禁止、緊急通話の適切なルーティングなど、許可されている宛先のみをダイヤルできます。ダイヤル プランの使用制限の適用に関する詳細は、コラボレーション SRND の「ダイヤル プラン」セクションを参照してください。
専用インスタンスでのセキュア接続の証明書要件
専用インスタンスの場合、Cisco はパブリック認証局(CA)を使用してドメインを提供し、UC アプリケーションのすべての証明書に署名します。
専用インスタンス - ポート番号とプロトコル
次の表では、専用インスタンスでサポートされているポートとプロトコルについて説明します。 特定の顧客に使用されるポートは、顧客の展開とソリューションによって異なります。 プロトコルは、顧客の好み(SCCP 対 SIP)、既存のオンプレミス デバイス、および各展開で使用するポートを決定するセキュリティレベルによって異なります。
コールフロー機能(通話中機能など)の一部が機能しないため、専用インスタンスでは、エンドポイントと Unified CM 間のネットワーク アドレス変換(NAT)は許可されません。 |
専用インスタンス – 顧客ポート
顧客がオンプレミスと専用インスタンスの間で使用できるポートは、表1「専用インスタンスの顧客ポート」に表示されます。 以下にリストされているすべてのポートは、ピアリングリンクをトラバースする顧客トラフィック用です。
SNMP ポートは、Cisco Emergency Responder がその機能をサポートする場合にのみデフォルトで開きます。 専用インスタンスクラウドに導入された UC アプリケーションを監視するパートナーや顧客をサポートしていないため、他の UC アプリケーションに対して SNMP ポートを開放することはできません。 |
5063 ~ 5080 の範囲のポートは、他のクラウド統合、パートナー、または顧客の管理者が設定でこれらのポートを使用しないことを推奨するために、Cisco によって予約されています。 |
プロトコル |
TCP/UDP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 | ||
---|---|---|---|---|---|---|---|---|
SSHについて |
TCP |
クライアント |
UC アプリケーション
|
1023より大きい |
22日 |
管理 |
||
TFTP |
UDP |
エンドポイント |
Unified CM |
1023より大きい |
1859年のスポーツ |
レガシーエンドポイントのサポート |
||
LDAP |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023より大きい |
389年の戦闘 |
顧客の LDAP へのディレクトリ同期 |
||
HTTPS |
TCP |
ブラウザ |
UC アプリケーション |
1023より大きい |
443 |
セルフケアおよび管理インターフェイスのためのウェブアクセス |
||
アウトバウンドメール (SECURE) |
TCP |
UC アプリケーション |
CUCxn(CUCxn) |
1023より大きい |
1787年の戦闘 |
指定された受信者に安全なメッセージを作成して送信するために使用。 |
||
LDAP(セキュア) |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023より大きい |
コパ・アメリカ |
顧客の LDAP へのディレクトリ同期 |
||
H323 |
TCP |
ゲートウェイ |
Unified CM |
1023より大きい |
1720 |
コールシグナリング |
||
H323 |
TCP |
Unified CM |
Unified CM |
1023より大きい |
1720 |
コールシグナリング |
||
SCCPについて |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023より大きい |
2000年のNFL |
コールシグナリング |
||
SCCPについて |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023より大きい |
2000年のNFL |
コールシグナリング |
||
MGCPについて |
UDP |
ゲートウェイ |
ゲートウェイ |
1023より大きい |
プログレスM-27M |
コールシグナリング |
||
MGCPバックホール |
TCP |
ゲートウェイ |
Unified CM |
1023より大きい |
2428日 |
コールシグナリング |
||
SCCP(セキュア) |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023より大きい |
ハインリヒ2世 |
コールシグナリング |
||
SCCP(セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023より大きい |
ハインリヒ2世 |
コールシグナリング |
||
信頼の検証 |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
1745年のアジア |
エンドポイントへの信頼検証サービスの提供 |
||
CTI(シーティ) |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
ハインリヒ2世 |
CTI アプリケーション (JTAPI/TSP) と CTIManager 間の接続 |
||
セキュア CTI |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
ハインリヒ2世 |
CTI アプリケーション(JTAPI/TSP)と CTIManager 間のセキュアな接続 |
||
LDAP グローバルカタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023より大きい |
3268年のアジア |
顧客の LDAP へのディレクトリ同期 |
||
LDAP グローバルカタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023より大きい |
3269年のアジア |
顧客の LDAP へのディレクトリ同期 |
||
CAPFサービス |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
ハインリヒ4世 |
IP 電話にローカルで有効な証明書(LSC)を発行するための認証局プロキシ機能(CAPF)リスニングポート |
||
SIP |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023より大きい |
カワサキ・S60 |
コールシグナリング |
||
SIP |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023より大きい |
カワサキ・S60 |
コールシグナリング |
||
SIP (セキュア) |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
5061 |
コールシグナリング |
||
SIP (セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023より大きい |
5061 |
コールシグナリング |
||
SIP(OAUTH) |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
1790年代の日本 |
コールシグナリング |
||
XMPP(xmpp)とは |
TCP |
Jabber クライアント |
Cisco IM&P(シスコ) |
1023より大きい |
アゼルバイジャンの航空 |
インスタント メッセージングとプレゼンス |
||
HTTP |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
小惑星の一覧 |
構成と画像をエンドポイントにダウンロードする |
||
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
カワサキ |
構成と画像をエンドポイントにダウンロードする |
||
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
アイオワ州会議事堂 |
構成と画像をエンドポイントにダウンロードする |
||
HTTP |
TCP |
Jabber クライアント |
CUCxn(CUCxn) |
1023より大きい |
1780年代の日本 |
ボイスメール通知 |
||
HTTPS |
TCP |
Jabber クライアント |
CUCxn(CUCxn) |
1023より大きい |
ハインリヒ2世 |
セキュアなボイスメール通知 |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
1023より大きい |
カワサキ |
証明書ベースの認証にクラスタ間ルックアップサービス(ILS)が使用する |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
1023より大きい |
ハインリヒ2世 |
パスワードベースの認証に ILS が使用する |
||
IMAPについて |
TCP |
Jabber クライアント |
CUCxn(CUCxn) |
1023より大きい |
ハインリヒ2世 |
TLS上のIMAP |
||
HTTP |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
カワサキ |
Legacy Endpoint Support のディレクトリ URI |
||
HTTPS |
TCP |
ブラウザ、エンドポイント |
UC アプリケーション |
1023より大きい |
8443 |
セルフケアおよび管理インターフェイス、UDS の Web アクセス |
||
HTTPS |
TCP |
電話 |
Unified CM |
1023より大きい |
ハインリヒ4世 |
認証された連絡先検索 |
||
HTTPについて |
TCP |
エンドポイント |
Unified CM |
1023より大きい |
9444年の戦闘 |
ヘッドセット管理機能 |
||
セキュア RTP/SRTP |
UDP |
Unified CM |
電話 |
16384 から 32767 * |
16384 から 32767 * |
メディア(オーディオ) - 保留音、アナンシエータ、ソフトウェア会議ブリッジ(コールシグナリングに基づいて開く) |
||
セキュア RTP/SRTP |
UDP |
電話 |
Unified CM |
16384 から 32767 * |
16384 から 32767 * |
メディア(オーディオ) - 保留音、アナンシエータ、ソフトウェア会議ブリッジ(コールシグナリングに基づいて開く) |
||
コブラス |
TCP |
クライアント |
CUCxn(CUCxn) |
1023より大きい |
20532年の戦闘 |
Application Suite のバックアップと復元 |
||
ICMPについて |
ICMPについて |
エンドポイント |
UC アプリケーション |
該当なし |
該当なし |
Ping |
||
ICMPについて |
ICMPについて |
UC アプリケーション |
エンドポイント |
該当なし |
該当なし |
Ping |
||
DNS | UDP および TCP |
DNS フォワーダ |
専用インスタンス DNS サーバ |
1023より大きい |
53 |
専用インスタンス DNS サーバへの顧客のプレミス DNS フォワーダ。 詳細については、「DNS要件」を参照してください。 |
||
*特定の特別なケースでは、より広い範囲を使用する場合があります。 |
専用インスタンス – OTT ポート
次のポートは、Mobile and Remote Access(MRA)セットアップで顧客とパートナーが使用できます。
プロトコル |
TCP/UCPについて |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
セキュア RTP/RTCP |
UDP |
Expressway C (Expressway C) |
クライアント |
1023より大きい |
36000-59999 |
MRA および B2B 通話用のセキュア メディア |
マルチテナントと専用インスタンス間の相互運用型 SIP トランク(登録ベースのトランクのみ)
マルチテナントと専用インスタンスの間で接続する登録ベースの SIP トランクに対して、顧客のファイアウォールで次のポートのリストを許可する必要があります。
プロトコル |
TCP/UCPについて |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling マルチテナント |
クライアント |
1023より大きい |
8000~48198 |
Webex Calling マルチテナントからのメディア |
専用インスタンス – UCCX ポート
次のポートのリストは、顧客とパートナーが UCCX を設定するために使用できます。
プロトコル |
TCP/UCP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
SSHについて |
TCP |
クライアント |
UCCXについて |
1023より大きい |
22日 |
SFTP および SSH |
Informix(インフォミックス) |
TCP |
クライアントまたはサーバー |
UCCXについて |
1023より大きい |
1504年の戦闘 |
Contact Center Express データベース ポート |
SIP |
UDP および TCP |
SIP GW または MCRP サーバ |
UCCXについて |
1023より大きい |
ハインリヒ5世 |
リモート GW および MCRP ノードへの通信 |
XMPP(xmpp)とは |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ニカラグアの歴史 |
Finesse サーバとカスタムサードパーティアプリケーション間のセキュアな XMPP 接続 |
CVDについて |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ルドルフ1世 |
CCX アプリケーションへのエディタ |
HTTPS |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ハインリヒ2世 |
Finesse サーバとエージェントとスーパーバイザのデスクトップ間の BOSH 接続を HTTPS 経由でセキュアに通信します。 |
HTTP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
カワサキ |
ライブデータレポートクライアントは socket.IO サーバーに接続します |
HTTP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ハインリヒ1世 |
Cisco Unified Intelligence Center Web インターフェイスにアクセスしようとするクライアント ブラウザ |
HTTP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
8443 |
管理者 GUI、RTMT、SOAP 経由の DB アクセス |
HTTPS |
TCP |
クライアント |
UCCXについて |
1023より大きい |
8444 |
Cisco Unified Intelligence Center ウェブ インターフェイス |
HTTPS |
TCP |
ブラウザおよび REST クライアント |
UCCXについて |
1023より大きい |
ヒュンダイ |
Finesse用のセキュアポート |
HTTPS |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ニカラグアの国章 |
HTTPS - Unified Intelligence Center オンラインヘルプ |
HTTPS |
TCP |
クライアント |
UCCXについて |
1023より大きい |
8553年の戦闘 |
シングル サインオン(SSO)コンポーネントは、このインターフェイスにアクセスして、Cisco IdS の動作ステータスを確認します。 |
HTTP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ミレニアム |
HTTP トリガーまたはドキュメント/プロンプト/文法/ライブデータにアクセスしようとするクライアント。 |
HTTPS |
TCP |
クライアント |
UCCXについて |
1023より大きい |
ハインリヒ4世 |
HTTPS トリガーにアクセスしようとするクライアントに応答するために使用されるセキュア ポート |
TCP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
1日 |
これは、ライブデータレポートクライアントが socket.IO サーバに接続できるポートです。 |
TCP |
TCP |
クライアント |
UCCXについて |
1023より大きい |
1日 |
これは、ライブデータレポートクライアントが socket.IO サーバに接続できるポートです。 |
CTI(シーティ) |
TCP |
クライアント |
UCCXについて |
1023より大きい |
12028年の戦闘 |
CCX へのサードパーティ CTI クライアント |
RTP(メディア) |
TCP |
エンドポイント |
UCCXについて |
1023より大きい |
1023より大きい |
メディア ポートは必要に応じて動的に開きます |
RTP(メディア) |
TCP |
クライアント |
エンドポイント |
1023より大きい |
1023より大きい |
メディア ポートは必要に応じて動的に開きます |
クライアントのセキュリティ
SIP OAuth で Jabber と Webex を保護する
Jabber および Webex クライアントは、ローカルで有効な証明書(LSC)の代わりに OAuth トークンを介して認証されます。これは、証明機関プロキシ機能(CAPF)の有効化(MRA の場合も)を必要としません。 混合モードの有無にかかわらず動作する SIP OAuth は、Cisco Unified CM 12.5(1)、Jabber 12.5、および Expressway X12.5 で導入されました。
Cisco Unified CM 12.5 では、SIP REGISTER のシングル トランスポート層セキュリティ(TLS) + OAuth トークンを使用して、LSC/CAPF なしで暗号化を可能にする電話セキュリティプロファイルに新しいオプションがあります。 Expressway-C ノードは、Administrative XML Web Service (AXL) API を使用して、証明書で Cisco Unified CM に SN/SAN を通知します。 Cisco Unified CM は、相互 TLS 接続を確立するときに、この情報を使用して Exp-C 証明書を検証します。
SIP OAuth は、エンドポイント証明書(LSC)なしでメディアおよびシグナリングの暗号化を有効にします。
Cisco Jabber は、TFTP サーバへの HTTPS 接続を介して、Ephemeral ポートとセキュア ポート 6971 および 6972 ポートを使用して、設定ファイルをダウンロードします。 ポート 6970 は、HTTP 経由でダウンロードするための非セキュアなポートです。
SIP OAuth 設定の詳細: SIP OAuth モード。
DNS の要件
専用インスタンスの場合、Cisco は各リージョンのサービスの FQDN に次の形式を提供します。<customer>.<region>.wxc-di.webex.com たとえば、 xyz.amer.wxc-di.webex.com。
「顧客」の値は、初回セットアップウィザード(FTSW)の一部として管理者によって提供されます。 詳細については、専用インスタンスサービスのアクティベーションを参照してください。
この FQDN の DNS レコードは、専用インスタンスに接続するオンプレミスのデバイスをサポートするために、顧客の内部 DNS サーバから解決可能である必要があります。 解決を容易にするために、顧客は専用インスタンス DNS サービスを指す DNS サーバで、この FQDN の条件付きフォワーダを設定する必要があります。 専用インスタンスDNSサービスは地域的なサービスであり、以下の表の専用インスタンスDNSサービスIPアドレスに記載されている次のIPアドレスを使用して、専用インスタンスへのピアリングを介してアクセスできます。
リージョン/DC | 専用インスタンス DNS サービス IP アドレス |
条件付き転送の例 |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com (カスタマー) | |
SJCについて |
69.168.17.100。 |
|
DFWについて |
69.168.17.228。 |
|
欧州、中東、アフリカ |
<customer>.emea.wxc-di.webex.com (顧客サイト) |
|
ロン |
〒178.215.138.100 |
|
AMSについて |
〒178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.comまで |
|
FRA(フラー) |
〒178.215.131.100 |
|
AMSについて |
〒178.215.131.228 |
|
APJC(アジアパシフィック、日本、中国エリア) |
<customer>.apjc.wxc-di.webex.comまで |
|
SINについて |
103.232.71.100 |
|
TKYについて |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com (カスタマー) | |
メル |
ファックス: 86-755-8888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888 |
|
SYDについて |
ファックス: 86-755-8888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888 |
セキュリティ上の理由から、上記のDNSサーバーのIPアドレスでpingオプションが無効になっています。 |
条件付き転送が行われるまで、デバイスはピアリングリンクを介して顧客の内部ネットワークから専用インスタンスに登録できません。 MRA を容易にするために必要な外部 DNS レコードはすべて Cisco によって事前プロビジョニングされるため、Mobile and Remote Access(MRA)による登録には条件付き転送は必要ありません。
専用インスタンスで Webex アプリケーションをコールソフトクライアントとして使用する場合、各地域の音声サービスドメイン (VSD) に対して UC Manager プロファイルを Control Hub で設定する必要があります。 詳細については、Cisco Webex Control Hub の UC Manager プロファイルを参照してください。 Webex アプリケーションは、エンドユーザーの介入なしに顧客の Expressway Edge を自動的に解決できます。
音声サービス ドメインは、サービスのアクティベーションが完了すると、パートナー アクセス ドキュメントの一部として顧客に提供されます。 |
電話機の DNS 解決にローカル ルータを使用する
社内 DNS サーバーにアクセスできない電話機では、ローカル Cisco ルータを使用して、DNS 要求を専用インスタンスのクラウド DNS に転送できます。 これにより、ローカル DNS サーバを展開する必要がなくなり、キャッシュを含む完全な DNS サポートが提供されます。
設定の例 :
!
ip dns サーバー
ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
この展開モデルの DNS 使用率は電話機に固有であり、顧客の専用インスタンスからドメインで FQDN を解決するためにのみ使用できます。 |
リファレンス
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND)、セキュリティのトピック: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Cisco Unified Communications Manager のセキュリティ ガイド: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html