- ホーム
- /
- 投稿記事
専用インスタンスのネットワークおよびセキュリティ要件
専用インスタンス ソリューションのネットワークとセキュリティ要件は、安全な物理アクセス、ネットワーク、エンドポイント、Cisco UC アプリケーションを提供する機能と機能に対する階層的なアプローチです。ネットワーク要件を説明し、エンドポイントをサービスに接続するために使用されるアドレス、ポート、プロトコルをリストします。
専用インスタンスのネットワーク要件
Webex Calling専用インスタンスは、Cisco Unified Communications Manager (Cisco Unified CM) コラボレーションテクノロジーを利用して、Cisco Cloud 通話ポートフォリオの一部です。専用インスタンスは、Cisco IP 電話、モバイル 端末、および専用インスタンスに安全に接続するデスクトップクライアントの機能と利点を備え、音声、ビデオ、メッセージング、モビリティソリューションを提供します。
この記事は、ネットワーク管理者、特に組織内の専用インスタンスを使用するファイアウォールとプロキシ セキュリティ管理者を対象にしています。
セキュリティの概要: レイヤーのセキュリティ
専用インスタンスは セキュリティのためにレイヤードアプローチを使用します。また、以下の層が含まれます。
-
物理アクセス
-
ネットワーク
-
エンドポイント
-
UC アプリケーション
以下のセクションでは、専用インスタンス展開でのセキュリティのレイヤー について 説明します。
物理的セキュリティ
Equinix Meet-Me Room のロケーションと Cisco 専用インスタンスデータセンター施設に物理的なセキュリティを提供することが 重要です。物理的なセキュリティが侵害されると、顧客のスイッチの電源をシャットダウンすることでサービスの中断などの単純な攻撃を開始することができます。物理的なアクセスにより、攻撃者はサーバーデバイスへのアクセス、パスワードのリセット、スイッチへのアクセス権を取得する可能性があります。物理的なアクセスにより、中間者攻撃などのより洗練された攻撃が促進されます。2 番目のセキュリティ層であるネットワークセキュリティが重要です。
セルフ暗号化ドライブは、UC アプリケーションをホスト する専用インスタンスデータセンターで使用されます。
一般的なセキュリティプラクティスの詳細については、次の場所にあるドキュメントを参照してください。https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html
ネットワーク セキュリティ
パートナーは、すべてのネットワーク要素が 、Equinix を経由して接続する専用インスタンス インフラストラクチャで保護されている必要があります。セキュリティのベストプラクティスを確実に行う責任は、以下の通り行います。
-
音声とデータのための別々の VLAN
-
1 ポート当たりに許可される MAC アドレスの数を制限するポートセキュリティを、CAM テーブルリングに対して制限します。
-
スプーフィングされた IP アドレスに対する IP ソースのなりすまし
-
Dynamic GAR 検査 (DAI) はアドレス解決プロトコル (GARP) と違反に対する (GARP) 違反について (GARP) 検証します (GARP スプーフィングに対する)
-
802.1x 割り当てられた VLAN (電話は 802 をサポートする) 上のデバイスを認証するために、ネットワークアクセスを制限します1x。
-
音声パケットの適切なマーキングのためのサービスの質(QoS)の設定
-
他のトラフィックをブロックするファイアウォール ポートの構成
エンドポイントのセキュリティ
Cisco エンドポイントは、署名されたファームウェア、セキュア ブート (選択モデル)、製造元がインストールした証明書 (MIC)、および署名された構成ファイルなどのデフォルトのセキュリティ機能をサポートし、エンドポイントに特定のレベルのセキュリティを提供します。
さらに、パートナーまたは顧客は、次のような追加のセキュリティを有効にできます。
-
Extension Mobility などのサービスのための IP 電話サービス (HTTPS 経由) を暗号化します
-
証明機関のプロキシ機能 (CAPF) またはパブリック証明機関 (CA) からローカルに重要な証明書 (LSCs) を発行します
-
構成ファイルを暗号化する
-
メディアとシグナルの暗号化
-
これらを使用しない場合、これらの設定を無効にします。PC ポート, PC 音声 VLAN アクセス, 無料な VLAN, ウェブ アクセス, 設定ボタン, SSH, コンソール
専用インスタンスにセキュリティ メカニズムを実装することで、電話と Unified CM サーバーの ID の盗難、データの改元、通話信号 / メディアストリームの改めを防止します。
ネットワーク上の 専用インスタンス:
-
認証済みの通信ストリームを確立し維持します。
-
ファイルを電話に転送する前にデジタル署名を行う
-
Ip フォン間のメディアストリームと通話シグナリングCisco Unifiedします。
セキュリティ機能により、IP フォンを使用する場合に、以下Cisco Unifiedセキュリティ機能が提供されます。
-
電話構成ファイルの署名
-
電話設定ファイル暗号化のサポート
-
Tomcat および他の Web サービスの HTTPS (MIDlets)
Unified CM Release 8.0 以降では、これらのセキュリティ機能はデフォルトで提供され、Certificate Trust List (CTL) クライアントを実行しない必要があります。
信頼検証サービスネットワーク内には多くの電話があり、IP 電話にはメモリが限られているため、Cisco Unified CM は信頼確認サービス (TVS) を通してリモートの信頼ストアとして機能し、証明書信頼ストアを各電話に配置する必要がないのでです。Cisco IP Phone は CTL または ITL ファイル経由で署名または証明書を検証できないため、TVS サーバーに連絡して検証を行います。中央の信頼ストアを有することにより、各顧客の IP 電話に信頼ストアCisco Unified管理するより容易になります。
TVS によりCisco Unified IP 電話は、HTTPS 保護中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証できます。
最初の信頼リスト初期信頼リスト (ITL) ファイルは、エンドポイントが CM を信頼できるよう、最初のセキュリティCisco Unifiedされます。ITL は、明示的に有効にするセキュリティ機能を必要としません。ITL ファイルはクラスターがインストールされると自動的に作成されます。ITL ファイルに署名するために、Unified CM Trivial ファイル転送プロトコル (TFTP) サーバーのプライベートキーが使用されます。
ITL Cisco Unifiedサーバーが非セキュアモードの場合、ITL ファイルはサポートされる Cisco IP 電話にダウンロードされます。パートナーは CLI コマンド「admin:show itl」を使用して ITL ファイルのコンテンツを表示できます。
Cisco IP Phone は、以下のタスクを実行するために ITL ファイルが必要です。
-
構成ファイル暗号化のサポートの前提条件である CAPF に安全に通信する
-
構成ファイル署名を認証する
-
TVS を使用して HTTPS 中に EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバーを認証する
デバイス、ファイル、シグナル認証は、パートナーまたは顧客が Cisco Certificate Trust List Client をインストールして構成するときに作成される Certificate Trust List (CTL) ファイルの作成に依存します。
CTL ファイルには次のサーバーまたはセキュリティトークンのエントリが含まれています:
-
システム管理者セキュリティ トークン (SAST)
-
同じサーバー上で実行している Cisco CallManager および Cisco TFTP サービス
-
認証機関プロキシ機能(CAPF)
-
TFTP サーバー
-
ASA ファイアウォール
CTL ファイルには、サーバー証明書、公開鍵、シリアル番号、署名、発行者名、サブジェクト名、サーバー機能、DNS 名、および各サーバーの IP アドレスが含まれている。
CTL を含む電話のセキュリティでは、次の機能を提供します。
-
署名キーを使用した TFTP ダウンロードファイル (構成、ロケール、呼び出しリストなど) の認証
-
署名キーを使用した TFTP 構成ファイルの暗号化
-
IP 電話用の暗号化通話信号
-
IP 電話用の暗号化通話音声 (メディア)
専用インスタンスは エンドポイントの登録と通話処理を提供します。Cisco Unified CM とエンドポイント間のシグナリングは、Secure Skinny Client Control Protocol (SCCP) または セッション開始プロトコル (SIP) に基づいており、トランスポート層セキュリティ (TLS) を使用して暗号化できます。エンドポイント間のメディアは、リアルタイム トランスポート プロトコル (RTP) に基づいており、セキュア RTP (SRTP) を使用して暗号化されます。
Unified CM の混合モードを有効にすると、Cisco エンドポイント間のシグナリングおよびメディア トラフィックの暗号化が有効になります。
セキュアな UC アプリケーション
専用インスタンスで混合モードを有効にする専用インスタンスでは、混合モードがデフォルトで有効になっています。
専用インスタンスで混合モード を有効 にすると、Cisco エンドポイントから、または Cisco エンドポイントへのシグナリングおよびメディア トラフィックの暗号化を実行する機能が有効になります。
Cisco Unified CM リリース 12.5(1) で、混合モードの代わりに SIP OAuth に基づくシグナリングおよびメディアの暗号化を有効にする新しいオプション / CTL が Jabber および Webex クライアントに追加されました。したがって、Unified CM リリース 12.5(1)では、JAbber または Webex クライアントのシグナリングおよびメディアの暗号化を有効にするには、SIP OAuth および SRTP を使用できます。現時点で、Cisco IP 電話と他の Cisco エンドポイントでは、混合モードの有効化が引き続き必要です。今後のリリースで 7800/8800 エンドポイントで SIP OAuth のサポートを追加する計画があります。
ボイス メッセージング セキュリティCisco Unity Connection通じて Unified CM に接続できます。デバイスのセキュリティ モードが非セキュアである場合、ユーザー Cisco Unity Connection、SCCP ポートを通して Unified CM に接続します。
SCCP を実行している SCCP または Cisco Unity Connection デバイスを実行する Unified CM ボイスメッセージポートと Cisco Unity デバイスのセキュリティを設定するには、パートナーはポートに安全なデバイス セキュリティ モードを選択できます。認証済みのボイスメール ポートを選択すると、TLS 接続が開き、相互証明書の交換を使用してデバイスを認証します (各デバイスは他のデバイスの証明書を受け入れる)。暗号化されたボイスメール ポートを選択する場合、システムは最初にデバイスを認証し、デバイス間で暗号化されたボイス ストリームを送信します。
セキュリティボイスメッセージポートの詳細については次を参照してください: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST、トランク、ゲートウェイ、CUBE/SBC のセキュリティ
サーバー Cisco Unifiedリモートサイトテレフォニー (SRST) 対応ゲートウェイでは、専用インスタンスの Cisco Unified CM が通話を完了できない場合に限られた通話処理タスクが提供されます。
セキュアな SRST 対応ゲートウェイに自己署名証明書が含まれている。パートナーが Unified CM 管理で SRST 構成タスクを実行した後、Unified CM は TLS 接続を使用して、SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。Unified CM は SRST 対応ゲートウェイから証明書を取得し、Unified CM データベースに証明書を追加します。
パートナーが Unified CM 管理の依存デバイスをリセットした後、TFTP サーバーは SRST 対応ゲートウェイ証明書を電話 cnf.xml ファイルに追加し、ファイルを電話に送信します。安全な電話は、TLS 接続を使用して、SRST 対応ゲートウェイと対話します。
Cisco Unified CM からゲートウェイへの発信および PSTN ボーダー エレメント (CUBE) を経由したトラバーサルの通話では、セキュアなトランクを持Cisco Unified推奨されます。
SIP トランクは、シグナリングおよびメディアの両方でセキュアな通話をサポートできます。TLS はシグナリング暗号化を提供し、SRTP はメディア暗号化を提供します。
Cisco Unified CM と CUBE 間の通信の保護
Cisco Unified CM と CUBE 間の安全な通信を行う場合、パートナー/顧客は自己署名証明書または CA 署名証明書のいずれかを使用する必要があります。
自己署名証明書の場合:
-
CUBE および Cisco Unified CM は自己署名証明書を生成します
-
CUBE は証明書を Cisco Unified CM にエクスポートします
-
Cisco Unified CM は証明書を CUBE にエクスポートします
CA 署名付き証明書の場合:
-
クライアントはキーペアを生成し、Certificate Signing Request (CSR) を認証局 (CA) に送信します。
-
CA はプライベートキーで署名し、ID 証明書を作成します
-
クライアントは信頼できる CA ルートおよびメディア証明書と ID 証明書のリストをインストールします
リモート エンドポイントのセキュリティ
モバイルおよび Remote Access (MRA) エンドポイントでは、シグナルとメディアは常に、MRA エンドポイントとユーザー構成ノード間でExpresswayされます。MRA エンドポイントで Interactive Connectivity Of (ICE) プロトコルが使用される場合、MRA エンドポイントのシグナルとメディア暗号化が必要になります。ただし、Expressway-C と内部 Unified CM サーバー、内部エンドポイント、その他の内部デバイス間のシグナリングおよびメディアの暗号化には、混合モードまたは SIP OAuth が必要です。
Cisco Expresswayは、Unified CM 登録のセキュアなファイアウォール トラバーサルと回線側のサポートを提供します。Unified CM は、モバイルおよびオンプレミスのエンドポイントの両方に通話制御を提供します。信号はリモート エンドポイントExpressway Unified CM の間の統合ソリューションを通過します。メディアは 1 つのExpresswayを通過し、エンドポイント間で直接リレーされます。すべてのメディアは、Expressway-C とモバイルエンドポイント間で暗号化されます。
任意の MRA ソリューションには、MRA Expresswayなソフト クライアントおよび/または固定エンドポイントにより、統合型 CM の統合が必要です。ソリューションは、オプションで IM and Presence Service と Unity Connection を含む可能性があります。
プロトコルの概要
以下の表では、Unified CM ソリューションで使用されるプロトコルと関連サービスを示します。
プロトコル |
セキュリティ |
サービス |
---|---|---|
SIP |
TLS |
セッションの保存: 登録、招待など |
HTTPS |
TLS |
ログオン、プロビジョニング/構成、ディレクトリ、ビジュアルボイスメール |
メディア |
Srtp |
メディア:音声、ビデオ、コンテンツ共有 |
Xmpp |
TLS |
インスタントメッセージ、プレゼンス、フェデレーション |
MRA 構成の詳細については、次を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
構成オプション
専用 インスタンスは 、パートナーに対し、2 日目の設定を完全に管理して、エンドユーザーに対してサービスをカスタマイズする柔軟性を提供します。その結果、パートナーはエンドユーザーの環境に対して、 専用インスタンス サービスの適切な設定に対してすべての責任を負います。これには次が含まれますが、これに限定されるではありません。
-
安全/セキュアではない通話、SIP/sSIP、http/https などのセキュア/セキュアではないプロトコルを選択し、関連するリスクを理解します。
-
すべての MAC アドレスが専用インスタンス内でセキュアな SIP として設定されていない場合、攻撃者が MAC アドレスを使用して SIP Register メッセージを送信し、SIP コールを行う結果、有料不正行為が発生します。攻撃者は、専用インスタンスで登録されているデバイスの MAC アドレスが分かっている場合、許可なく SIP デバイス/ ソフトウェアを専用インスタンスに登録できます。
-
Expressway-E 通話ポリシー、変換、検索ルールは、有料の不正行為を防ぐために構成される必要があります。Expressway による有料不正の防止に関する詳細は、「コラボレーション SRND Expressway Expressway E セクションのセキュリティ」を参照してください。
-
ユーザが許可されている宛先(国内/国際ダイヤルを禁止する、緊急通話が適切にルーティングされるなど)のみをダイヤルできるようにするためのダイヤル プランの設定。ダイヤル プランを使用した制限の適用の詳細については、コラボレーション SRND の [ダイヤル プラン] セクションを参照してください。
専用インスタンスでセキュアな接続のための証明書要件
専用インスタンスについては、Cisco はパブリック証明機関 (CA) を使用して、ドメインを提供し、UC アプリケーションのすべての証明書に署名します。
専用インスタンス – ポート番号とプロトコル
次の表では、専用インスタンスでサポートされているポートとプロトコルを説明しています。特定の顧客に使用されるポートは、顧客の展開とソリューションによって異なります。プロトコルは、顧客の好み (SCCP と SIP)、既存のオンプレミス デバイス、および各展開で使用するポートを決定するセキュリティレベルによって異なります。
専用インスタンスは、通話中機能など、通話フロー機能の一部が機能しないため、エンドポイントと Unified CM 間のネットワーク アドレス変換(NAT)を許可しません。
専用インスタンス – 顧客ポート
顧客が利用できるポート - 顧客のオンプレミスと専用インスタンスの間のポートは表 1 の専用インスタンスの顧客ポートに示されています。下にリストされているポートはすべて、ピアリンクをトラバーサルする顧客トラフィック用です。
SNMP ポートは、Cisco Emergency Responder がその機能をサポートするために、デフォルトでのみ開いています。専用インスタンス クラウドに展開された UC アプリケーションを監視するパートナーや顧客をサポートしていないため、他の UC アプリケーションの SNMP ポートを開くことは許可していません。
5063 ~ 5080 の範囲のポートは、他のクラウド統合、パートナー、または顧客管理者が設定でこれらのポートを使用しないことを推奨します。
プロトコル |
TCP/UDP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
Ssh |
TCP |
クライアント |
UC アプリケーション Cisco Expressway アプリケーションでは許可されていません。 |
1023 を超える |
22 |
管理 |
TFTP |
UDP |
エンドポイント |
Unified CM |
1023 を超える |
69 |
レガシー エンドポイントのサポート |
LDAP |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 を超える |
389 |
顧客 LDAP へのディレクトリ同期 |
HTTPS |
TCP |
ブラウザ |
UC アプリケーション |
1023 を超える |
443 |
セルフケアと管理インターフェイスのためのウェブ アクセス |
アウトバウンドメール (セキュア) |
TCP |
UC アプリケーション |
CUCxn |
1023 を超える |
587 |
指定された受信者に安全なメッセージを作成および送信するために使用されます。 |
LDAP (セキュア) |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 を超える |
636 |
顧客 LDAP へのディレクトリ同期 |
H323 |
TCP |
ゲートウェイ |
Unified CM |
1023 を超える |
1720 |
通話信号 |
H323 |
TCP |
Unified CM |
Unified CM |
1023 を超える |
1720 |
通話信号 |
Sccp |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 を超える |
2000 |
通話信号 |
Sccp |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 を超える |
2000 |
通話信号 |
MGCP |
UDP |
ゲートウェイ |
ゲートウェイ |
1023 を超える |
2427 |
通話信号 |
MGCP バックホール |
TCP |
ゲートウェイ |
Unified CM |
1023 を超える |
2428 |
通話信号 |
SCCP (セキュア) |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 を超える |
2443 |
通話信号 |
SCCP (セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 を超える |
2443 |
通話信号 |
信頼の検証 |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
2445 |
信頼確認サービスをエンドポイントに提供 |
Cti |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
2748 |
CTI アプリケーション (JTAPI/TSP) と CTIManager の間の接続 |
セキュアな CTI |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
2749 |
CTI アプリケーション (JTAPI/TSP) と CTIManager の間の安全な接続 |
LDAP グローバル カタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 を超える |
3268 |
顧客 LDAP へのディレクトリ同期 |
LDAP グローバル カタログ |
TCP |
UC アプリケーション |
外部ディレクトリ |
1023 を超える |
3269 |
顧客 LDAP へのディレクトリ同期 |
CAPF サービス |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
3804 |
ローカルで重要な証明書 (LSC) を IP 電話に発行する認証局のプロキシ機能 (CAPF) リスニング ポート |
SIP |
TCP |
エンドポイント |
Unified CM、CUCxn |
1023 を超える |
5060 |
通話信号 |
SIP |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 を超える |
5060 |
通話信号 |
SIP (セキュア) |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
5061 |
通話信号 |
SIP (セキュア) |
TCP |
Unified CM |
Unified CM、ゲートウェイ |
1023 を超える |
5061 |
通話信号 |
SIP (OAUTH) |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
5090 |
通話信号 |
Xmpp |
TCP |
Jabber クライアント |
Cisco IM&P |
1023 を超える |
5222 |
インスタントメッセージとプレゼンス |
HTTP |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
6970 |
構成と画像をエンドポイントにダウンロードする |
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
6971 |
構成と画像をエンドポイントにダウンロードする |
HTTPS |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
6972 |
構成と画像をエンドポイントにダウンロードする |
HTTP |
TCP |
Jabber クライアント |
CUCxn |
1023 を超える |
7080 |
ボイスメール通知 |
HTTPS |
TCP |
Jabber クライアント |
CUCxn |
1023 を超える |
7443 |
セキュアなボイスメール通知 |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023 を超える |
7501 |
証明書ベースの認証のために Intercluster Lookup Service (ILS) で使用されます |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023 を超える |
7502 |
パスワードベースの認証のために ILS で使用される |
Imap |
TCP |
Jabber クライアント |
CUCxn |
1023 を超える |
7993 |
IMAP over TLS |
HTTP |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
8080 |
レガシーエンドポイントサポートのディレクトリ URI |
HTTPS |
TCP |
ブラウザ、エンドポイント |
UC アプリケーション |
1023 を超える |
8443 |
セルフケアと管理のインターフェイス、UDSのためのウェブ アクセス |
HTTPS |
TCP |
電話 |
Unified CM |
1023 を超える |
9443 |
認証された連絡先検索 |
HTTP |
TCP |
エンドポイント |
Unified CM |
1023 を超える |
9444 |
ヘッドセット管理機能 |
セキュアな RTP/SRTP |
UDP |
Unified CM |
電話 |
16384 ~ 32767 * |
16384 ~ 32767 * |
メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く) |
セキュアな RTP/SRTP |
UDP |
電話 |
Unified CM |
16384 ~ 32767 * |
16384 ~ 32767 * |
メディア (音声) - 保留時の音楽、アナシエトール、ソフトウェア会議ブリッジ (通話信号に基づいて開く) |
コブラス |
TCP |
クライアント |
CUCxn |
1023 を超える |
20532 |
アプリケーション スイートのバックアップと復元 |
Icmp |
Icmp |
エンドポイント |
UC アプリケーション |
該当せず |
該当せず |
Ping |
Icmp |
Icmp |
UC アプリケーション |
エンドポイント |
該当せず |
該当せず |
Ping |
DNS | UDP および TCP |
DNS フォワーダ |
専用インスタンス DNS サーバー |
1023 を超える |
53 |
専用インスタンス DNS サーバーへの顧客のプレミス DNS フォワーダ。詳細については、「DNS 要件 」を参照してください。 |
* 一部の特殊なケースでは、さらに多くの範囲が使用される場合があります。 |
専用インスタンス – OTT ポート
次のポートは、モバイルおよびリモートアクセス (MRA) セットアップの顧客とパートナーが使用できます。
プロトコル |
TCP/UCP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
セキュア RTP/RTCP |
UDP |
Expressway C |
クライアント |
1023 を超える |
36000-59999 |
MRA および B2B 通話のためのセキュアなメディア |
マルチテナントと専用インスタンスの間の接続型 SIP トランク(登録ベースのトランクのみ)
マルチテナントと専用インスタンス間の登録ベースの SIP トランク接続について、顧客のファイアウォールで次のポートのリストを許可する必要があります。
プロトコル |
TCP/UCP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling マルチテナント |
クライアント |
1023 を超える |
8000-48198 |
Webex Calling マルチテナントからのメディア |
専用インスタンス – UCCX ポート
以下のポートのリストは、顧客とパートナーが UCCX を構成するために使用できます。
プロトコル |
TCP / UCP |
ソース |
移動先 |
ソースポート |
移動先ポート |
目的 |
---|---|---|---|---|---|---|
Ssh |
TCP |
クライアント |
UCCX |
1023 を超える |
22 |
SFTP と SSH |
Informix |
TCP |
クライアントまたはサーバー |
UCCX |
1023 を超える |
1504 |
Contact Center Express データベース ポート |
SIP |
UDP および TCP |
SIP SIP または MCRP サーバー |
UCCX |
1023 を超える |
5065 |
リモートハードウェアおよび MCRP ノードへの通信 |
Xmpp |
TCP |
クライアント |
UCCX |
1023 を超える |
5223 |
Finesse サーバーとカスタムサードパーティアプリケーション間のセキュアな XMPP 接続 |
Cvd |
TCP |
クライアント |
UCCX |
1023 を超える |
6999 |
CCX アプリケーション用エディタ |
HTTPS |
TCP |
クライアント |
UCCX |
1023 を超える |
7443 |
Finesse サーバーとエージェントとスーパーバイザーデスクトップ間の安全な BOSH 接続の HTTPS 経由の通信 |
HTTP |
TCP |
クライアント |
UCCX |
1023 を超える |
8080 |
ライブ データ レポート クライアントが socket.IO サーバーに接続されます |
HTTP |
TCP |
クライアント |
UCCX |
1023 を超える |
8081 |
クライアントのブラウザが Intelligence Center のCisco Unifiedにアクセスしようとしている |
HTTP |
TCP |
クライアント |
UCCX |
1023 を超える |
8443 |
SOAP 経由の管理者 GUI、RTMT、DB アクセス |
HTTPS |
TCP |
クライアント |
UCCX |
1023 を超える |
8444 |
Cisco Unified Intelligence Center ウェブインターフェイス |
HTTPS |
TCP |
ブラウザおよび REST クライアント |
UCCX |
1023 を超える |
8445 |
Finesse のセキュアなポート |
HTTPS |
TCP |
クライアント |
UCCX |
1023 を超える |
8447 |
HTTPS - Unified Intelligence Center オンラインヘルプ |
HTTPS |
TCP |
クライアント |
UCCX |
1023 を超える |
8553 |
シングル サインオン (SSO) コンポーネントはこのインターフェイスにアクセスして、Cisco IdS のオペレーティング ステータスを把握します。 |
HTTP |
TCP |
クライアント |
UCCX |
1023 を超える |
9080 |
HTTP トリガーまたはドキュメント / プロンプト / 文法 / ライブ データにアクセスしようとするクライアント。 |
HTTPS |
TCP |
クライアント |
UCCX |
1023 を超える |
9443 |
HTTPS トリガーにアクセスしようとするクライアントに応答するために使用される安全なポート |
TCP |
TCP |
クライアント |
UCCX |
1023 を超える |
12014 |
これは、ライブ データ レポート クライアントが socket.IO サーバに接続できるポートです。 |
TCP |
TCP |
クライアント |
UCCX |
1023 を超える |
12015 |
これは、ライブ データ レポート クライアントが socket.IO サーバに接続できるポートです。 |
Cti |
TCP |
クライアント |
UCCX |
1023 を超える |
12028 |
サードパーティ CTI クライアントから CCX |
RTP (メディア) |
TCP |
エンドポイント |
UCCX |
1023 を超える |
1023 を超える |
メディア ポートは、必要に応じて動的に開きます |
RTP (メディア) |
TCP |
クライアント |
エンドポイント |
1023 を超える |
1023 を超える |
メディア ポートは、必要に応じて動的に開きます |
クライアントのセキュリティ
SIP OAuth で Jabber および Webex を保護する
Jabber および Webex クライアントは、ローカルに重要な証明書 (LSC) の代わりに Oauth トークンを通じて認証されます。これは、認証機関のプロキシ機能 (CAPF も同様に) 有効化を必要としません。混合モードで動作するまたは混合モードを使用しない SIP Oauth は、Cisco Unified CM 12.5(1)、Jabber 12.5、および Expressway X12.5 で導入されました。
Cisco Unified CM 12.5 では、SIP 登録の単一 Transport Layer Security (TLS) + Oauth トークンを使用して、LSC/CAPF なしの暗号化を有効にする電話セキュリティ プロファイルの新しいオプションがあります。Expressway-C ノードは Administrative XML Web Service (AXL) API を使用して、証明書の SN/SAN について Cisco Unified CM に通知します。Cisco Unified CM はこの情報を使用して、ユーザーの接続を確立する際に Exp-Cert 相互 TLSします。
SIP OAuth は、エンドポイント証明書 (LSC) なしで、メディアとシグナリング暗号化を有効にします。
Cisco Jabber は TFTP サーバーへの HTTPS 接続経由で一時的ポートとセキュアポート 6971 および 6972 ポートを使用して構成ファイルをダウンロードします。ポート 6970 は、HTTP 経由でダウンロードするための非セキュアなポートです。
SIP Oauth 構成に関する詳細:SIP OAuth モード。
DNS の要件
専用インスタンスの場合、Cisco は各地域のサービスに対して FQDN を次の形式で提供します。。.wxc-di.webex.com 例: xyz.amer.wxc-di.webex.com。
「顧客」の値は、初回セットアップ ウィザード (FTSW) の一部として管理者により提供されます。詳細については、専用インスタンスサービスの アクティベーションを参照してください。
このシステムの DNS FQDN、顧客の内部 DNS サーバーから解決可能で、専用インスタンスに接続されているオンプレミスデバイスをサポートする必要があります。解決を促進するには、顧客の DNS サーバーが専用インスタンス DNS サービスを指しているこのFQDN、条件付きフォワードを設定する必要があります。専用インスタンス DNS サービスは地域であり、次の表の 専用インスタンス DNS サービス IP アドレスに記載されている次の IP アドレスを使用して、専用インスタンスにピアリングすることで到達できます。
地域/DC | 専用インスタンス DNS サービス IP アドレス |
条件転送の例 |
---|---|---|
アメリカ |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
欧州、中東、アフリカ |
<customer>.emea.wxc-di.webex.com |
|
経度 |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
に |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
罪 |
103.232.71.100 |
|
トキー |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
メル |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
英国 |
<customer>.uk.wxc-di.webex.com | |
経度 |
178.215.135.100 |
|
男性 |
178.215.135.228 |
セキュリティ上の理由から、上記の DNS サーバー IP アドレスに対する ping オプションが無効になります。
条件付き転送が行されるまで、デバイスはピアリンク経由で顧客の内部ネットワークから専用インスタンスに登録できません。MRA を促進するために必要なすべての外部 DNS レコードが Cisco により事前に準備されるので、モバイルおよび Remote Access (MRA) 経由での登録に、条件付き転送は必要ありません。
Webex アプリケーションを専用インスタンスの通話ソフト クライアントとして使用する場合、各地域の音声サービス ドメイン (VSD) に対して、UC Manager Profile を Control Hub で構成する必要があります。詳細については、サイトの UC Manager プロファイルをCisco Webex Control Hub。Webex アプリケーションは、エンドユーザーの介入無しに、自動的に顧客の Expressway Edge を解決することができます。
サービスのアクティベーションが完了すると、パートナー アクセスドキュメントの一部として音声サービスドメインが顧客に提供されます。
電話機の DNS 解決にローカル ルータを使用
社内 DNS サーバーにアクセスできない電話機の場合、ローカル Cisco ルータを使用して、DNS 要求を専用インスタンスのクラウド DNS に転送できます。これにより、ローカル DNS サーバーを展開する必要がなくなり、キャッシュを含む完全な DNS サポートが提供されます。
設定の例 :
!
IP DNS サーバー
ip name-server <DI DNS サーバー IP DC1> <DI DNS サーバー IP DC2>
!
この展開モデルにおける DNS の使用状況は電話機に固有であり、顧客専用インスタンスのドメインでの FQDN の解決にのみ使用できます。
参照情報
-
Cisco Collaboration 12.x ソリューション 参照ネットワーク設計 (SRND)、セキュリティに関するトピック: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
セキュリティガイド (Cisco Unified Communications Manager): https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html