Dit document is voornamelijk gericht op de netwerk- en beveiligingsvereisten voor de oplossing voor toegewezen exemplaren, inclusief de gelaagde benadering van de functies en functionaliteit die veilige fysieke toegang, een beveiligd netwerk, beveiligde eindpunten en veilige Cisco UC -toepassingen bieden.
Netwerkvereisten voor toegewezen exemplaar
Webex Calling Dedicated Instance maakt deel uit van de Cisco Cloud Calling-portfolio, mogelijk gemaakt door de samenwerkingstechnologie Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance biedt spraak-, video-, messaging- en mobiliteitsoplossingen met de functies en voordelen van Cisco IP -telefoons, mobiele apparaten en desktopclients die veilig verbinding maken met de Dedicated Instance.
Dit artikel is bedoeld voor netwerkbeheerders, met name beheerders van firewalls en proxy's die een toegewezen exemplaar binnen hun organisatie willen gebruiken.
Beveiligingsoverzicht: Beveiliging in lagen
Toegewezen exemplaar maakt gebruik van een gelaagde aanpak voor beveiliging. De lagen omvatten:
Fysieke toegang
Netwerk
Eindpunten
UC-toepassingen
In de volgende secties worden de beveiligingslagen beschreven in Toegewezen exemplaar implementaties.
Fysieke beveiliging
Het is belangrijk om fysieke beveiliging te bieden aan Equinix Meet-Me Room-locaties en Cisco Toegewezen exemplaar Datacenterfaciliteiten. Wanneer de fysieke beveiliging in gevaar komt, kunnen eenvoudige aanvallen worden gestart, zoals serviceonderbrekingen door de stroom naar de switches van een klant uit te schakelen. Met fysieke toegang kunnen aanvallers toegang krijgen tot serverapparaten, wachtwoorden opnieuw instellen en toegang krijgen tot switches. Fysieke toegang maakt ook meer geavanceerde aanvallen mogelijk, zoals man-in-the-middle-aanvallen. Daarom is de tweede beveiligingslaag, de netwerkbeveiliging, van cruciaal belang.
Zelfversleutelende stations worden gebruikt in Toegewezen exemplaar Datacenters die UC-toepassingen hosten.
Raadpleeg de documentatie op de volgende locatie voor meer informatie over algemene beveiligingsprocedures: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netwerkbeveiliging
Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in Toegewezen exemplaar infrastructuur (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om te zorgen voor aanbevolen procedures op het gebied van beveiliging, zoals:
Afzonderlijk VLAN voor spraak en data
Poortbeveiliging inschakelen waarmee het aantal toegestane MAC -adressen per poort wordt beperkt, tegen overstromingen van de CAM-tabel
IP -bronbescherming tegen vervalste IP -adressen
Dynamic ARP Inspection (DAI) onderzoekt ARP (Address Resolution Protocol) en gratis ARP (GARP) op schendingen (tegen ARP-spoofing)
802.1x beperkt netwerktoegang tot het verifiëren van apparaten op toegewezen VLAN's (telefoons ondersteunen 802.1x )
Configuratie van de servicekwaliteit (QoS) voor de juiste markering van spraakpakketten
Configuraties van firewallpoorten voor het blokkeren van ander verkeer
Endpoint Security
Cisco -eindpunten ondersteunen standaardbeveiligingsfuncties zoals ondertekende firmware, beveiligd opstarten (geselecteerde modellen), door de fabrikant geïnstalleerd certificaat (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.
Daarnaast kan een partner of klant aanvullende beveiliging inschakelen, zoals:
IP-telefoon coderen (via HTTPS) voor services zoals Extension Mobility
Lokaal belangrijke certificaten (LSC's) uitgeven via de proxyfunctie van de Certificate Authority Proxy Function (CAPF) of een openbare certificeringsinstantie (CA)
Configuratiebestanden coderen
Media en signalering versleutelen
Schakel deze instellingen uit als ze niet worden gebruikt: Pc-poort, Pc Voice VLAN Access, Gratuitous ARP, Web Access, Instellingenknop, SSH, console
Beveiligingsmechanismen implementeren in de Toegewezen exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, sabotage van gegevens en sabotage van gesprekssignalering/mediastream.
Toegewezen exemplaar via het netwerk:
Brengt geverifieerde communicatiestromen tot stand en onderhoudt deze
Bestanden digitaal ondertekenen voordat het bestand naar de telefoon wordt overgebracht
Versleutelt mediastreams en gesprekssignalering tussen Cisco Unified IP -telefoons
Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP -telefoons:
Ondertekening van de telefoonconfiguratie
Ondersteuning voor codering van telefoonconfiguratie
HTTPS met Tomcat en andere Web (MIDlets)
Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard geleverd zonder de CTL-client (Certificaatvertrouwenslijst).
Omdat er een groot aantal telefoons in een netwerk zijn en IP -telefoons een beperkt geheugen hebben, fungeert Cisco Unified CM als een externe vertrouwensopslag via de Trust Verification Service (TVS), zodat er niet op elke telefoon een certificaatvertrouwensopslag hoeft te worden geplaatst. De Cisco IP -telefoons nemen voor verificatie contact op met de TVS -server omdat ze een handtekening of certificaat niet kunnen verifiëren via CTL of ITL-bestanden. Het is eenvoudiger om een centraal vertrouwensarchief te beheren dan het hebben van het vertrouwensarchief op elke Cisco Unified IP-telefoon.
TVS stelt Cisco Unified IP -telefoons in staat om toepassingsservers, zoals EM -services, directory en MIDlet, te verifiëren tijdens het instellen van HTTPS.
Het ITL-bestand (Initiële vertrouwenslijst) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten Cisco Unified CM kunnen vertrouwen. ITL heeft geen beveiligingsfuncties nodig om expliciet te worden ingeschakeld. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster wordt geïnstalleerd. De persoonlijke sleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.
Wanneer de Cisco Unified CM -cluster of -server zich in de niet veilige modus, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht, admin:show itl.
Cisco IP -telefoons hebben het ITL-bestand nodig om de volgende taken uit te voeren:
Veilig communiceren met CAPF, een vereiste voor ondersteuning van de codering van configuratiebestand
De handtekening van het configuratiebestand verifiëren
Toepassingsservers verifiëren, zoals EM -services, directory en MIDlet tijdens het instellen van HTTPS met TVS
Apparaat-, bestands- en signaleringsverificatie is afhankelijk van het maken van het CTL-bestand (Certificate Trust List), dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.
Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:
Beveiligingstoken voor systeembeheerder (SAST)
Cisco CallManager en Cisco TFTP -services die op dezelfde server worden uitgevoerd
Proxyfunctie van Certificate Authority (CAPF)
TFTP -server(s)
ASA-firewall
Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de uitgever, onderwerpnaam, serverfunctie, DNS -naam en IP-adres voor elke server.
Telefoonbeveiliging met CTL biedt de volgende functies:
Verificatie van gedownloade TFTP -bestanden (configuratie, landinstelling, bellijst, enzovoort) met een ondertekeningssleutel
Versleuteling van TFTP -configuratiebestanden met een ondertekeningssleutel
Gecodeerde gesprekssignalering voor IP -telefoons
Gecodeerde gespreksaudio (media) voor IP -telefoons
Toegewezen exemplaar biedt eindpuntregistratie en gespreksverwerking. De signalering tussen Cisco Unified CM en eindpunten is gebaseerd op SCCP (Secure Skinny Client Control Protocol ) of Session Initiation Protocol (SIP) en kan worden versleuteld met Transport Layer Security (TLS). De media van/naar de eindpunten zijn gebaseerd op Real-time Transport Protocol (RTP) en kunnen ook worden versleuteld met Secure RTP (SRTP).
Als u de gemengde modus op Unified CM inschakelt, wordt de codering van het signalerings- en mediaverkeer van en naar de Cisco -eindpunten ingeschakeld.
Beveiligde UC-toepassingen
De gemengde modus is standaard ingeschakeld in Toegewezen exemplaar .
Gemengde modus inschakelen in Toegewezen exemplaar maakt het mogelijk om het signalerings- en mediaverkeer van en naar de Cisco -eindpunten te versleutelen.
In Cisco Unified CM versie 12.5(1) is een nieuwe optie toegevoegd voor het inschakelen van codering van signalering en media op basis van SIP OAuth in plaats van gemengde modus/ CTL voor Jabber- en Webex -clients. Daarom kunnen in Unified CM versie 12.5(1) SIP OAuth en SRTP worden gebruikt om codering in te schakelen voor signalering en media voor Jabber- of Webex -clients. Het inschakelen van de gemengde modus blijft op dit moment vereist voor Cisco IP -telefoons en andere Cisco -eindpunten. Er is een plan om in een toekomstige release ondersteuning toe te voegen voor SIP OAuth in 7800/8800-eindpunten.
Cisco Unity Connection maakt verbinding met Unified CM via de TLS poort. Wanneer de apparaatbeveiligingsmodus niet-beveiligd is, maakt Cisco Unity Connection verbinding met Unified CM via de SCCP -poort.
Als u de beveiliging wilt configureren voor Unified CM -spraakberichtenpoorten en Cisco Unity -apparaten waarop SCCP wordt uitgevoerd of Cisco Unity Connection -apparaten waarop SCCP wordt uitgevoerd, kan een partner een beveiligde apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt er een TLS verbinding geopend waarmee de apparaten worden geverifieerd via een wederzijdse certificaatuitwisseling (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstreams tussen de apparaten.
Voor meer informatie over de beveiliging van spraakberichtenpoorten raadpleegt u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Beveiliging voor SRST, trunks, gateways, CUBE/SBC
Een Cisco Unified Survivable Remote Site Telephony (SRST) gateway biedt beperkte gespreksverwerkingstaken als de Cisco Unified CM op Toegewezen exemplaar kan het gesprek niet voltooien.
Beveiligde gateways met SRST bevatten een zelfondertekend certificaat. Nadat een partner SRST -configuratietaken heeft uitgevoerd in Unified CM-beheer, gebruikt Unified CM een TLS -verbinding voor verificatie met de certificaatproviderservice in de SRST-gateway. Unified CM haalt vervolgens het certificaat op van de SRST-gateway en voegt het certificaat toe aan de Unified CM -database.
Nadat de partner de afhankelijke apparaten opnieuw heeft ingesteld in Unified CM-beheer, voegt de TFTP -server het SRST-gateway gatewaycertificaat toe aan het cnf.xml-bestand van de telefoon en verzendt het bestand naar de telefoon. Een beveiligde telefoon gebruikt vervolgens een TLS -verbinding om te communiceren met de SRST-gateway.
Het wordt aanbevolen om beveiligde trunks te hebben voor het gesprek dat afkomstig is van Cisco Unified CM naar de gateway voor uitgaande PSTN-gesprekken of via het Cisco Unified Border Element (CUBE).
SIP -trunks kunnen beveiligde gesprekken ondersteunen, zowel voor signalering als voor media; TLS biedt signaalcodering en SRTP biedt mediacodering.
Communicatie beveiligen tussen Cisco Unified CM en CUBE
Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten een zelfondertekend certificaat of door een CA ondertekende certificaten gebruiken.
Voor zelfondertekende certificaten:
CUBE en Cisco Unified CM genereren zelfondertekende certificaten
CUBE exporteert certificaat naar Cisco Unified CM
Cisco Unified CM exporteert certificaat naar CUBE
Voor door een CA ondertekende certificaten:
Client genereert een sleutelpaar en verzendt een certificaatondertekeningsverzoek (CSR) naar de Certificate Authority (CA)
De CA ondertekent deze met zijn persoonlijke sleutel, waardoor een identiteitscertificaat wordt gemaakt
Client installeert de lijst met vertrouwde CA-basiscertificaten en tussencertificaten en het identiteitscertificaat
Beveiliging voor externe eindpunten
Met Mobile and Externe toegang (MRA)-eindpunten worden de signalering en media altijd versleuteld tussen de MRA-eindpunten en Expressway-knooppunten. Als het Interactive Connectivity Establishment-protocol (ICE) wordt gebruikt voor MRA-eindpunten, is signalering en mediacodering van de MRA-eindpunten vereist. Voor versleuteling van de signalering en media tussen Expressway-C en de interne Unified CM -servers, interne eindpunten of andere interne apparaten is echter gemengde modus of SIP OAuth vereist.
Cisco Expressway biedt veilige firewalltraversal en lijnondersteuning voor Unified CM -registraties. Unified CM biedt gespreksbeheer voor zowel mobiele als op locatie eindpunten. Signalering doorkruist de Expressway-oplossing tussen het externe eindpunt en Unified CM. Media doorkruist de Expressway-oplossing en wordt rechtstreeks tussen eindpunten doorgegeven. Alle media worden versleuteld tussen de Expressway-C en het mobiele eindpunt.
Voor elke MRA-oplossing zijn Expressway en Unified CM vereist, met MRA-compatibele soft-clients en/of vaste eindpunten. De oplossing kan optioneel de IM en presence-service en Unity Connection bevatten.
Protocoloverzicht
In de volgende tabel ziet u de protocollen en bijbehorende services die worden gebruikt in de Unified CM -oplossing.
Protocol |
Beveiliging |
Service |
|---|---|---|
SIP |
TLS |
Sessie tot stand brengen: Registreren, uitnodigen, enz. |
HTTPS |
TLS |
Aanmelden, inrichting/configuratie, telefoonlijst, visuele voicemail |
Media |
SRTP |
Media: Audio, video, inhoud delen |
XMPP |
TLS |
Instant Messaging, Aanwezigheid, Federatie |
Zie voor meer informatie over MRA-configuratie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Configuratieopties
De Toegewezen exemplaar biedt Partner de flexibiliteit om services voor eindgebruikers aan te passen via volledige controle over de configuraties van dag twee. Als gevolg hiervan is de partner als enige verantwoordelijk voor de juiste configuratie van: Toegewezen exemplaar service voor de omgeving van de eindgebruiker. Dit omvat, maar is niet beperkt tot:
Beveiligde/onbeveiligde gesprekken, beveiligde/onbeveiligde protocollen zoals SIP/sSIP, http/https enz. kiezen en de bijbehorende risico's begrijpen.
Voor alle MAC -adressen die niet zijn geconfigureerd als beveiligd- SIP in Toegewezen exemplaar , kan een aanvaller een SIP -registerbericht verzenden met dat MAC-adres en SIP -oproepen plaatsen, wat kan leiden tot fraude. Voorwaarde is dat de aanvaller zijn of haar SIP-apparaat/software kan registreren op: Toegewezen exemplaar zonder autorisatie als ze het MAC-adres kennen van een apparaat dat is geregistreerd in Toegewezen exemplaar .
Expressway-E-gespreksbeleid, transformatie- en zoekregels moeten worden geconfigureerd om tolfraude te voorkomen. Voor meer informatie over het voorkomen van tolfraude met Expressways raadpleegt u het gedeelte Beveiliging voor Expressway C en Expressway-E van: Samenwerkings-SRND .
Kiesplanconfiguratie om ervoor te zorgen dat gebruikers alleen bestemmingen kunnen kiezen die zijn toegestaan, bijvoorbeeld nationaal/internationaal bellen verbieden, noodoproepen correct worden gerouteerd, enz. Voor meer informatie over het toepassen van beperkingen met behulp van kiesplan raadpleegt u Belplan sectie van Samenwerking SRND.
Certificaatvereisten voor beveiligde verbindingen in een speciaal exemplaar
Voor een toegewezen exemplaar levert Cisco het domein en ondertekent het alle certificaten voor de UC-toepassingen met behulp van een openbare Certificate Authority (CA).
Toegewezen exemplaar - Poortnummers en protocollen
In de volgende tabellen worden de poorten en protocollen beschreven die worden ondersteund in een toegewezen exemplaar. De poorten die voor een bepaalde klant worden gebruikt, zijn afhankelijk van de implementatie en oplossing van de klant. Protocollen zijn afhankelijk van de voorkeur van de klant (SCCP versus SIP), bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten in elke implementatie moeten worden gebruikt.
 |
Een toegewezen exemplaar staat geen NAT (Network Address Translation) tussen eindpunten en Unified CM toe, omdat sommige gespreksstroomfuncties niet werken, bijvoorbeeld de tijdens gesprek. |
Toegewezen exemplaar - Klantpoorten
De poorten die beschikbaar zijn voor klanten - tussen de op locatie klant en het toegewezen exemplaar worden weergegeven in tabel 1. Klantpoorten voor toegewezen instanties . Alle poorten die hieronder worden vermeld, zijn bedoeld voor klantverkeer dat via de peeringkoppelingen loopt.
|
SNMP -poort wordt alleen ondersteund voor CER-functionaliteit en niet voor andere bewakingstools van derden. |
 |
Poorten in het bereik 5063 tot 5080 zijn door Cisco gereserveerd voor andere cloudintegraties. Partner- of klantbeheerders wordt aangeraden deze poorten niet in hun configuraties te gebruiken. |
Protocol |
TCP/UDP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
|---|---|---|---|---|---|---|
SSH |
TCP |
Klant |
UC-toepassingen |
Groter dan 1023 |
22 |
Beheer |
TFTP |
UDP |
Eindpunt |
Unified CM |
Groter dan 1023 |
69 |
Ondersteuning voor verouderde eindpunten |
LDAP |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
389 |
Adreslijstsynchronisatie met klant LDAP |
HTTPS |
TCP |
Browser |
UC-toepassingen |
Groter dan 1023 |
443 |
Web voor self-care en beheerinterfaces |
Uitgaande e-mail (VEILIG) |
TCP |
UC-toepassing |
CUCxn |
Groter dan 1023 |
587 |
Wordt gebruikt om beveiligde berichten op te stellen en te verzenden naar aangewezen ontvangers |
LDAP (VEILIG) |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
636 |
Adreslijstsynchronisatie met klant LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Groter dan 1023 |
1720 |
Gesprekssignalering |
H323 |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
1720 |
Gesprekssignalering |
SCCP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
2000 |
Gesprekssignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Groter dan 1023 |
2000 |
Gesprekssignalering |
MGCP |
UDP |
Gateway |
Gateway |
Groter dan 1023 |
2427 |
Gesprekssignalering |
MGCP Blackhaul |
TCP |
Gateway |
Unified CM |
Groter dan 1023 |
2428 |
Gesprekssignalering |
SCCP (VEILIG) |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
2443 |
Gesprekssignalering |
SCCP (VEILIG) |
TCP |
Unified CM |
Unified CM, Gateway |
Groter dan 1023 |
2443 |
Gesprekssignalering |
Vertrouwensverificatie |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2445 |
Service voor vertrouwensverificatie leveren aan eindpunten |
CTI |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2748 |
Verbinding tussen CTI -toepassingen (JTAPI/TSP) en CTIManager |
Beveiligde CTI |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2749 |
Beveiligde verbinding tussen CTI -toepassingen (JTAPI/TSP) en CTIManager |
Globale LDAP -catalogus |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
3268 |
Adreslijstsynchronisatie met klant LDAP |
Globale LDAP -catalogus |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
3269 |
Adreslijstsynchronisatie met klant LDAP |
CAPF -service |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
3804 |
CAPF luisterpoort ( Certificate Authority Proxy Function) voor het uitgeven van LSC(Locally Significant Certificates) aan IP -telefoons |
SIP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
5060 |
Gesprekssignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Groter dan 1023 |
5060 |
Gesprekssignalering |
SIP (VEILIG) |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
5061 |
Gesprekssignalering |
SIP (VEILIG) |
TCP |
Unified CM |
Unified CM, Gateway |
Groter dan 1023 |
5061 |
Gesprekssignalering |
SIP (OAUTH) |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
5090 |
Gesprekssignalering |
XMPP |
TCP |
Jabber-client |
Cisco IM&P |
Groter dan 1023 |
5222 |
Instant Messaging en Aanwezigheid |
HTTP |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6970 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTPS |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6971 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTPS |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6972 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTP |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7080 |
Voicemailmeldingen |
HTTPS |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7443 |
Beveiligde voicemailmeldingen |
HTTPS |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
7501 |
Gebruikt door Service voor intercluster opzoeken (ILS) voor verificatie op basis van certificaten |
HTTPS |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
7502 |
Gebruikt door ILS voor op wachtwoord gebaseerde verificatie |
IMAP |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7993 |
IMAP via TLS |
HTTP |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
8080 |
Directory URI voor ondersteuning van verouderde eindpunten |
HTTPS |
TCP |
Browser, eindpunt |
UC-toepassingen |
Groter dan 1023 |
8443 |
Web voor self-care en beheerinterfaces, UDS |
HTTPS |
TCP |
Telefoon |
Unified CM |
Groter dan 1023 |
9443 |
Geverifieerd contact zoeken |
HTTP's |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
9444 |
Functie voor headsetbeheer |
Beveiligde RTP/ SRTP |
UDP |
Unified CM |
Telefoon |
16384 tot 32767 * |
16384 tot 32767 * |
Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (openen op basis van gesprekssignalering) |
Beveiligde RTP/ SRTP |
UDP |
Telefoon |
Unified CM |
16384 tot 32767 * |
16384 tot 32767 * |
Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (openen op basis van gesprekssignalering) |
COBRAS |
TCP |
Klant |
CUCxn |
Groter dan 1023 |
20532 |
Toepassingssuite back-uppen en terugzetten |
ICMP |
ICMP |
Eindpunt |
UC-toepassingen |
n.v.t. |
n.v.t. |
Ping |
ICMP |
ICMP |
UC-toepassingen |
Eindpunt |
n.v.t. |
n.v.t. |
Ping |
* In bepaalde speciale gevallen kan een groter bereik worden gebruikt. |
||||||
Toegewezen exemplaar - OTT-poorten
De volgende poort kan worden gebruikt door klanten en partners voor het instellen van mobiele en Externe toegang (MRA):
Protocol |
TCP/UCP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
|---|---|---|---|---|---|---|
VEILIGE RTP/ RTCP |
UDP |
Snelweg C |
Klant |
Groter dan 1023 |
36000-59999 |
Beveiligde media voor MRA- en B2B-gesprekken |
Toegewezen exemplaar - UCCX-poorten
De volgende lijst met poorten kan worden gebruikt door klanten en partners voor het configureren van UCCX.
Protocol |
TCP / UCP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
|---|---|---|---|---|---|---|
SSH |
TCP |
Klant |
UCCX |
Groter dan 1023 |
22 |
SFTP en SSH |
Informix |
TCP |
Client of server |
UCCX |
Groter dan 1023 |
1504 |
Unified CCX databasepoort |
SIP |
UDP en TCP |
SIP GW- of MCRP-server |
UCCX |
Groter dan 1023 |
5065 |
Communicatie met externe GW- en MCRP-knooppunten |
XMPP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
5223 |
Beveiligde XMPP -verbinding tussen de Finesse-server en aangepaste toepassingen van derden |
CVD |
TCP |
Klant |
UCCX |
Groter dan 1023 |
6999 |
Editor voor CCX-toepassingen |
HTTPS |
TCP |
Klant |
UCCX |
Groter dan 1023 |
7443 |
Beveiligde BOSH-verbinding tussen de Finesse-server en de desktops van agenten en supervisors voor communicatie via HTTPS |
HTTP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8080 |
Live-gegevensrapportageclients maken verbinding met socket.IO-server |
HTTP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8081 |
Clientbrowser probeert toegang te krijgen tot de webinterface van Cisco Unified Intelligence Center |
HTTP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8443 |
Admin GUI, RTCP, DB-toegang via SOAP |
HTTPS |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8444 |
Cisco Unified Intelligence Center webinterface |
HTTPS |
TCP |
Browser- en REST-clients |
UCCX |
Groter dan 1023 |
8445 |
Beveiligde poort voor Finesse |
HTTPS |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8447 |
HTTPS - Online-Help van Unified Intelligence Center |
HTTPS |
TCP |
Klant |
UCCX |
Groter dan 1023 |
8553 |
Onderdelen voor eenmalige aanmelding (SSO) hebben toegang tot deze interface om de bedrijfsstatus van Cisco IdS te kennen. |
HTTP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
9080 |
Clients die toegang proberen te krijgen tot HTTP-triggers of documenten/prompts/grammatica's/ live gegevens. |
HTTPS |
TCP |
Klant |
UCCX |
Groter dan 1023 |
9443 |
Beveiligde poort die wordt gebruikt om te reageren op clients die toegang proberen te krijgen tot HTTPS-triggers |
TCP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
12014 |
Dit is de poort waarop clients voor live-gegevensrapportage verbinding kunnen maken met de socket.IO-server |
TCP |
TCP |
Klant |
UCCX |
Groter dan 1023 |
12015 |
Dit is de poort waarop clients voor live-gegevensrapportage verbinding kunnen maken met de socket.IO-server |
CTI |
TCP |
Klant |
UCCX |
Groter dan 1023 |
12028 |
CTI -client van derden naar CCX |
RTP(media) |
TCP |
Eindpunt |
UCCX |
Groter dan 1023 |
Groter dan 1023 |
De mediapoort wordt indien nodig dynamisch geopend |
RTP(media) |
TCP |
Klant |
Eindpunt |
Groter dan 1023 |
Groter dan 1023 |
De mediapoort wordt indien nodig dynamisch geopend |
Clientbeveiliging
Jabber en Webex beveiligen met SIP OAuth
Jabber- en Webex clients worden geverifieerd via een OAuth-token in plaats van een Locally Significant Certificate (LSC ), waarvoor geen CAPF Certificate Authority Proxy Function ) is vereist (ook voor MRA). SIP OAuth met of zonder gemengde modus is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.
In Cisco Unified CM 12.5 hebben we een nieuwe optie in het telefoonbeveiligingsprofiel waarmee versleuteling zonder LSC/ CAPF wordt gemaakt, met behulp van één TLS ( Transport Layer Security ) + OAuth-token in SIP REGISTER. Expressway-C-knooppunten gebruiken de AXL- API (Administrative XML Web Service) om Cisco Unified CM te informeren over het SN/SAN in hun certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van een wederzijdse TLS -verbinding.
SIP OAuth schakelt media- en signaleringsversleuteling in zonder een eindpuntcertificaat (LSC).
Cisco Jabber gebruikt kortstondige poorten en beveiligde poorten 6971 en 6972 via een HTTPS-verbinding met de TFTP -server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.
Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus .
DNS -vereisten
Voor een toegewezen exemplaar levert Cisco de FQDN voor de service in elke regio met de volgende indeling:<customer> .<region> .wxc-di.webex.com bijvoorbeeld xyz.amer.wxc-di.webex.com .
De waarde 'klant' wordt door de beheerder verstrekt als onderdeel van de Wizard voor eerste installatie (FTSW). Raadpleeg voor meer informatie: Service voor toegewezen instantie activeren .
DNS -records voor deze FQDN moeten kunnen worden omgezet vanaf de interne DNS-server van de klant om lokale apparaten te ondersteunen die verbinding maken met het toegewezen exemplaar. Om de oplossing te vergemakkelijken, moet de klant een voorwaardelijke doorstuurserver configureren voor deze FQDN op de DNS-server die verwijst naar de toegewezen DNS -service. De DNS -service van het toegewezen exemplaar is regionaal en kan worden bereikt via peering naar het toegewezen exemplaar met behulp van de volgende IP -adressen, zoals vermeld in de onderstaande tabel IP -adres van toegewezen DNS -service .
Regio/DC |
IP -adres van toegewezen DNS -service | Voorbeeld van voorwaardelijk doorsturen |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
De ping-optie is om veiligheidsredenen uitgeschakeld voor de bovengenoemde DNS-server IP -adressen. |
Totdat de voorwaardelijke doorschakeling is ingeschakeld, kunnen apparaten zich niet via de peeringkoppelingen registreren bij het toegewezen exemplaar van het interne netwerk van de klant. Voorwaardelijk doorsturen is niet vereist voor registratie via Mobile and Externe toegang (MRA), omdat alle vereiste externe DNS -records om MRA mogelijk te maken vooraf worden ingericht door Cisco.
Wanneer u de Webex -toepassing gebruikt als uw soft-client voor bellen op een toegewezen exemplaar, moet een UC Manager-profiel worden geconfigureerd in Control Hub voor het Voice Service Domain (VSD) van elke regio. Raadpleeg voor meer informatie: UC Manager-profielen in Cisco Webex Control Hub . De Webex -toepassing kan de Expressway Edge van de klant automatisch oplossen zonder tussenkomst van de eindgebruiker .
|
Voice Service Domain wordt aan de klant verstrekt als onderdeel van het partnertoegangsdocument zodra de serviceactivering is voltooid. |
Verwijzingen
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), onderwerp Beveiliging: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Beveiligingshandleiding voor Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
