- Start
- /
- Artikel
Beveiligingsvereisten voor Webex Calling
This article is intended for network administrators, particularly firewall and proxy security administrators who want to use Webex Calling within their organization.
Voor informatie over de poortreferentie voor firewall- en toegangsvereisten raadpleegt u Poortreferentiegegevens voor Cisco Webex Calling.
Vereisten voor eindpunten
Webex Calling Edge
Voer de volgende stappen uit om een SIP-registratie of -gesprek uit te voeren:
-
Ontdek het hostadres van een SIP-eindpunt voor actieve Edge-knooppunten.
-
Voltooi alle voorwaarden met betrekking tot de gebruiker- en apparaatconfiguratie.
-
Zorg ervoor dat het eindpunt een openbare netwerkconnectiviteit heeft om servicedetectie te starten.
-
Voltooi de voorwaarden voor het bootstrappen van het eindpunt met een regio- of datacenterspecifieke inrichtingsconfiguratie. Deze configuratie helpt bij het verkrijgen van het relevante achtervoegsel van de domeinnaam voor servicedetectie.
IPv4 versus IPv6
Apparaten kunnen werken in een single-versie- of dual-stack-modus. De configuratie bepaalt de wijzigingen in het voorkeursprotocol en deze wijzigingen maken geen deel uit van servicedetectie.
-
Single-stack-modus: hiermee wordt slechts één IP-protocol ingeschakeld (bijvoorbeeld IPv4) en worden de andere protocoladressen genegeerd.
-
Dual-stack-modus: hiermee selecteert u een gewenste IP-versie via de configuratie.
De client beschouwt de prioriteit voor alle voorkeursadressen als lager (dat wil zeggen, gewenst) dan alle adressen van het IP-adres. Als IPv4 de voorkeur heeft, worden alle IPv4-adressen geprobeerd voordat een IPv6-adres wordt geprobeerd. Als alle adressen mislukken, begint de cyclus opnieuw met het voorkeursprotocoladres met de laagste prioriteit.
Een mobiele client die zich registreert bij ontvangst van een pushmelding, kan besluiten de modus te optimaliseren op basis van eerdere registraties.
Resolutie van het hostadres van het DNS SRV-adres
In het configuratiebestand van het eindpunt dat is verkregen via de inrichting, geeft de domeinindicator de domeinnaam aan om de Access Edge-service te detecteren. Een voorbeeld van de domeinnaam is:
wxc.edge.bcld.webex.com
In het voorbeeld kan het eindpunt dat een DNS SRV-zoekopdracht voor dit domein uitvoert, een reactie opleveren die vergelijkbaar is met het volgende:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
In dit geval verwijst het SRV-record naar 3 A-records.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
In het voorbeeld worden alle hosts geadverteerd om verbinding te maken met poort 5061 met een verschillend gewicht en een verschillende prioriteit.
Houd rekening met deze vereisten voor eindpunten.
-
Een eindpunt moet
_sips._tcp
(combinatie van service en protocol) als voorvoegsel gebruiken om een DNS SRV-zoekopdracht uit te voeren voor het verkrijgen van een hostadres voor het starten van TLS-gebaseerde communicatie. -
Een eindpunt moet een DNS SRV-zoekopdracht uitvoeren voor de voorwaarden die worden uitgelegd in de sectie Resolutie van het hostadres vanuit het DNS SRV-adres.
-
Een eindpunt moet host, poort, gewicht en prioriteit respecteren zoals geadverteerd voor elk van de hostadressen. Er moet ook een affiniteit van host tot poort worden gemaakt bij het maken van een socketverbinding tijdens de SIP-registratie.
-
Specifiek voor het gebruik van de DNS SRV-record, worden de selectiecriteria van hosts op basis van prioriteit en gewicht uitgelegd in RFC 2782.
Vereisten voor SIP en media
Vereiste |
Beschrijving |
---|---|
Vertrouwenscertificaat vereist voor codering met openbare sleutel |
Raadpleeg artikel, voor meer informatie over de ondertekeningsinstantie van Webex-certificaten en de vereiste Root CA op apparaten |
Ondersteunde TLS-versie voor veilige SIP |
TLS 1.2 |
Ondersteunde TLS-coderingen voor veilige SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Ondersteunde SRTP-sleutels voor beveiligde media |
AES_CM_128_HMAC_SHA1_80 |
Vereisten voor veilige SIP met mTLS (gemeenschappelijke TLS)
De vereisten worden hier in detail uitgelegd.
Een ondertekend certificaat is vereist voor een geslaagde autorisatie en verificatie van gesprekken vanaf de trunk. Het certificaat moet aan de volgende vereisten voldoen:
-
Het certificaat moet zijn ondertekend door een certificeringsinstantie die wordt vermeld in Welke hoofdcertificeringsinstanties worden ondersteund voor gesprekken naar Cisco Webex-audio- en -videoplatformen?
-
Upload de vertrouwde bundel die wordt vermeld in Welke hoofdcertificeringsinstanties worden ondersteund voor gesprekken naar Cisco Webex-audio- en videoplatformen? in de CUBE.
-
Het certificaat moet altijd geldig zijn:
-
Ondertekende certificaten moeten altijd een geldige vervaldatum hebben.
-
Hoofdcertificaten of tussencertificaten moeten een geldige vervaldatum hebben en mogen niet worden ingetrokken.
-
Certificaten moeten worden ondertekend voor client- en servergebruik.
-
Certificaten moeten de FQDN (Fully Qualified Domain Name) bevatten als een algemene naam of een alternatieve naam voor het onderwerp in het certificaat met de FQDN die is gekozen in Control Hub. Bijvoorbeeld:
-
Een trunk die is geconfigureerd vanuit de Control Hub van uw organisatie met london.lgw.cisco.com:5061 als de FQDN moet london.lgw.cisco.com in de CN of SAN van het certificaat bevatten.
-
Een trunk die is geconfigureerd vanuit de Control Hub van uw organisatie met london.lgw.cisco.com als de SRV moet london.lgw.cisco.com in de CN of SAN van het certificaat bevatten. De records waarnaar het SRV-adres wordt omgezet (CNAME/A-record/ IP-adres) zijn optioneel in SAN.
-
-
U kunt certificaten delen met meer dan één lokale gateway, maar zorg ervoor dat aan de FQDN-vereisten wordt voldaan.
-
Buiten bereik
Dit artikel bevat niet de volgende informatie met betrekking tot netwerkbeveiliging:
-
F5-vereisten voor CA en versleuteling
-
Een op HTTP gebaseerde API om firewallregels voor Webex te downloaden.
-
API voor een vertrouwensbundel
-
Firewall-vereiste en ALG-uitschakeling