- Start
- /
- Artikel
De netwerk- en beveiligingsvereisten voor de oplossing voor een toegewezen exemplaar zijn de gelaagde benadering van de functies en functionaliteit die veilige fysieke toegang, netwerk, eindpunten en Cisco UC-toepassingen bieden. Het beschrijft de netwerkvereisten en vermeldt de adressen, poorten en protocollen die worden gebruikt voor het verbinden van uw eindpunten met de services.
Netwerkvereisten voor toegewezen exemplaar
Webex Calling Dedicated Instance maakt deel uit van de Cisco Cloud Calling-portfolio, mogelijk gemaakt door de Cisco Unified Communications Manager-samenwerkingstechnologie (Cisco Unified CM). Dedicated Instance biedt spraak-, video-, chat- en mobiliteitsoplossingen met de functies en voordelen van Cisco IP-telefoons, mobiele apparaten en desktopclients die veilig verbinding maken met Dedicated Instance.
Dit artikel is bedoeld voor netwerkbeheerders, in het bijzonder firewall- en proxybeveiligingsbeheerders die Dedicated Instance binnen hun organisatie willen gebruiken.
Beveiligingsoverzicht: Beveiliging in lagen
Dedicated Instance gebruikt een gelaagde benadering voor beveiliging. De lagen omvatten:
-
Fysieke toegang
-
Netwerk
-
Eindpunten
-
UC-toepassingen
In de volgende secties worden de beveiligingslagen in implementaties voor toegewezen exemplaren beschreven.
Fysieke beveiliging
Het is belangrijk om fysieke beveiliging te bieden aan Equinix Meet-Me Room-locaties en Cisco Dedicated Instance Data Center-faciliteiten. Wanneer de fysieke beveiliging wordt gecompromitteerd, kunnen eenvoudige aanvallen worden gestart, zoals onderbrekingen van de service door de stroom naar de schakelaars van een klant uit te schakelen. Met fysieke toegang konden aanvallers toegang krijgen tot serverapparaten, wachtwoorden resetten en toegang krijgen tot switches. Fysieke toegang vergemakkelijkt ook geavanceerdere aanvallen zoals man-in-the-middle-aanvallen, daarom is de tweede beveiligingslaag, de netwerkbeveiliging, cruciaal.
Zelfcoderende schijven worden gebruikt in datacenters voor toegewezen exemplaren die UC-toepassingen hosten.
Voor meer informatie over algemene beveiligingspraktijken raadpleegt u de documentatie op de volgende locatie: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netwerkbeveiliging
Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in de infrastructuur van Dedicated Instance (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om beste praktijken op het gebied van beveiliging te garanderen, zoals:
-
Afzonderlijke VLAN voor spraak en gegevens
-
Schakel Poortbeveiliging in die het aantal toegestane MAC-adressen per poort beperkt, tegen overstromingen in de CAM-tabel
-
IP-bronbeveiliging tegen gespoofde IP-adressen
-
Dynamische ARP-inspectie (DAI) onderzoekt adresresolutieprotocol (ARP) en gratuitous ARP (GARP) op overtredingen (tegen ARP-spoofing)
-
802.1x beperkt netwerktoegang tot geverifieerde apparaten op toegewezen VLAN's (telefoons ondersteunen wel 802.1x)
-
Configuratie van servicekwaliteit (QoS) voor de juiste markering van spraakpakketten
-
Firewallpoortconfiguraties voor het blokkeren van ander verkeer
Beveiliging van eindpunten
Cisco-eindpunten ondersteunen standaard beveiligingsfuncties zoals ondertekende firmware, beveiligde opstarten (geselecteerde modellen), door de fabrikant geïnstalleerd certificaat (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.
Daarnaast kan een partner of klant extra beveiliging inschakelen, zoals:
-
IP-telefoonservices (via HTTPS) coderen voor services zoals Extension Mobility
-
Lokaal significante certificaten (LSC's) uitgeven vanuit de proxyfunctie van de certificeringsinstantie (CAPF) of een openbare certificeringsinstantie (CA)
-
Configuratiebestanden versleutelen
-
Media en signalering coderen
-
Schakel deze instellingen uit als ze niet worden gebruikt: PC-poort, PC Voice VLAN Access, Gratuitous ARP, Web Access, knop Instellingen, SSH, console
Het implementeren van beveiligingsmechanismen in het toegewezen exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, gegevensmanipulatie en gesprekssignalering/mediastream-manipulatie.
Toegewezen exemplaar via het netwerk:
-
Hiermee worden geverifieerde communicatiestromen opgezet en onderhouden
-
Ondertekent bestanden digitaal voordat het bestand naar de telefoon wordt overgebracht
-
Hiermee worden mediastromen en gesprekssignalering tussen Cisco Unified IP-telefoons gecodeerd
Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP-telefoons:
-
Ondertekening van de telefoonconfiguratiebestanden
-
Ondersteuning voor codering van telefoonconfiguratiebestanden
-
HTTPS met Tomcat en andere webservices (MIDlets)
Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard geleverd zonder de CTL-client (Certificate Trust List) uit te voeren.
Verificatiedienst vertrouwenOmdat er een groot aantal telefoons in een netwerk is en IP-telefoons een beperkt geheugen hebben, fungeert Cisco Unified CM als een externe vertrouwensopslag via de Trust Verification Service (TVS), zodat er geen vertrouwensarchief voor certificaten op elke telefoon hoeft te worden geplaatst. De Cisco IP-telefoons nemen contact op met de TVS-server voor verificatie omdat ze geen handtekening of certificaat kunnen verifiëren via CTL- of ITL-bestanden. Het hebben van een centrale vertrouwensarchief is eenvoudiger te beheren dan het vertrouwensarchief op elke Cisco Unified IP-telefoon.
Met TVS kunnen Cisco Unified IP-telefoons toepassingsservers, zoals EM-services, directory en MIDlet, verifiëren tijdens het instellen van HTTPS.
Initiële vertrouwde lijstHet ITL-bestand (Initial Trust List) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten Cisco Unified CM kunnen vertrouwen. ITL hoeft geen beveiligingsfuncties expliciet in te schakelen. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster is geïnstalleerd. De privésleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.
Wanneer de Cisco Unified CM-cluster of -server zich in een niet-veilige modus bevindt, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht admin:show itl.
Cisco IP-telefoons hebben het ITL-bestand nodig om de volgende taken uit te voeren:
-
Veilig communiceren met CAPF, een voorwaarde om de codering van het configuratiebestand te ondersteunen
-
De handtekening van het configuratiebestand verifiëren
-
Applicatieservers verifiëren, zoals EM-services, directory en MIDlet tijdens het opzetten van HTTPS met TVS
Apparaat-, bestand- en signaleringsverificatie is afhankelijk van het maken van het CTL-bestand (Certificate Trust List) dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.
Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:
-
Beveiligingstoken systeembeheerder (SAST)
-
Cisco CallManager- en Cisco TFTP-services die op dezelfde server worden uitgevoerd
-
Proxyfunctie certificeringsinstantie (CAPF)
-
TFTP-server(s)
-
ASA-firewall
Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de uitgever, naam van het onderwerp, serverfunctie, DNS-naam en IP-adres voor elke server.
Telefoonbeveiliging met CTL biedt de volgende functies:
-
Verificatie van TFTP-gedownloade bestanden (configuratie, landinstelling, bellijst, enzovoort) met behulp van een ondertekeningssleutel
-
Codering van TFTP-configuratiebestanden met een ondertekeningssleutel
-
Gecodeerde gesprekssignalering voor IP-telefoons
-
Gecodeerde gespreksaudio (media) voor IP-telefoons
Dedicated Instance biedt eindpuntregistratie en gespreksverwerking. De signalering tussen Cisco Unified CM en eindpunten is gebaseerd op Secure Skinny Client Control Protocol (SCCP) of Session Initiation Protocol (SIP) en kan worden gecodeerd met Transport Layer Security (TLS). De media van/naar de eindpunten is gebaseerd op Real-time Transport Protocol (RTP) en kan ook worden gecodeerd met Secure RTP (SRTP).
Als u de gemengde modus inschakelt op Unified CM, wordt codering van het signalerings- en mediaverkeer van en naar de Cisco-eindpunten ingeschakeld.
Veilige UC-toepassingen
Gemengde modus inschakelen in Dedicated InstanceDe gemengde modus is standaard ingeschakeld in Dedicated Instance.
Als u de gemengde modus inschakelt in Dedicated Instance, kunt u de codering van het signalerings- en mediaverkeer van en naar de Cisco-eindpunten uitvoeren.
In Cisco Unified CM-versie 12.5(1) is een nieuwe optie toegevoegd voor Jabber- en Webex-clients om codering van signalering en media op basis van SIP OAuth in plaats van gemengde modus/CTL in te schakelen. Daarom kunnen SIP OAuth en SRTP in Unified CM-versie 12.5(1) worden gebruikt om codering voor signalering en media voor Jabber- of Webex-clients in te schakelen. Het inschakelen van de gemengde modus blijft op dit moment vereist voor Cisco IP-telefoons en andere Cisco-eindpunten. Er is een plan om ondersteuning voor SIP OAuth in 7800/8800-eindpunten toe te voegen in een toekomstige versie.
Beveiliging voor voicemailberichtenCisco Unity Connection maakt verbinding met Unified CM via de TLS-poort. Wanneer de beveiligingsmodus van het apparaat niet veilig is, maakt Cisco Unity Connection verbinding met Unified CM via de SCCP-poort.
Als u beveiliging wilt configureren voor Unified CM-poorten voor spraakberichten en Cisco Unity-apparaten waarop SCCP- of Cisco Unity Connection-apparaten worden uitgevoerd waarop SCCP wordt uitgevoerd, kan een partner een beveiligde apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt een TLS-verbinding geopend die de apparaten verifieert via een gemeenschappelijke certificaatuitwisseling (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstromen tussen de apparaten.
Voor meer informatie over de poorten voor Beveiliging spraakberichten raadpleegt u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Beveiliging voor SRST, trunks, gateways, CUBE/SBC
Een door Cisco Unified Survivable Remote Site Telephony (SRST) ingeschakelde gateway biedt beperkte gespreksverwerkingstaken als de Cisco Unified CM op een toegewezen exemplaar het gesprek niet kan voltooien.
Beveiligde gateways waarvoor SRST is ingeschakeld, bevatten een zelfondertekend certificaat. Nadat een partner SRST-configuratietaken heeft uitgevoerd in Unified CM Administration, gebruikt Unified CM een TLS-verbinding om te verifiëren met de service van de certificaatprovider in de gateway waarvoor SRST is ingeschakeld. Unified CM haalt het certificaat vervolgens op van de gateway waarvoor SRST is ingeschakeld en voegt het certificaat toe aan de Unified CM-database.
Nadat de partner de afhankelijke apparaten in Unified CM Administration heeft gereset, voegt de TFTP-server het SRST-gatewaycertificaat toe aan het cnf.xml-bestand van de telefoon en wordt het bestand naar de telefoon verzonden. Een veilige telefoon gebruikt vervolgens een TLS-verbinding om te communiceren met de gateway waarvoor SRST is ingeschakeld.
Het wordt aanbevolen om veilige trunks te hebben voor het gesprek dat afkomstig is van Cisco Unified CM naar de gateway voor uitgaande PSTN-gesprekken of door het Cisco Unified Border Element (CUBE).
SIP-trunks kunnen veilige gesprekken ondersteunen voor zowel signalering als media; TLS biedt signaleringscodering en SRTP biedt mediacodering.
Communicatie tussen Cisco Unified CM en CUBE beveiligen
Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten zelfondertekende certificaten of certificaten met CA-ondertekening gebruiken.
Voor zelfondertekende certificaten:
-
CUBE en Cisco Unified CM genereren zelfondertekende certificaten
-
CUBE exporteert certificaat naar Cisco Unified CM
-
Cisco Unified CM exporteert het certificaat naar CUBE
Voor door een certificeringsinstantie ondertekende certificaten:
-
De client genereert een sleutelpaar en verzendt een CSR (Certificate Signing Request) naar de certificeringsinstantie (CA)
-
De CA ondertekent deze met zijn privésleutel en maakt een identiteitscertificaat
-
De client installeert de lijst met vertrouwde CA-hoofdcertificaten en bemiddelaarscertificaten en het identiteitscertificaat
Beveiliging voor externe eindpunten
Met Mobile and Remote Access (MRA)-eindpunten worden de signalering en media altijd gecodeerd tussen de MRA-eindpunten en Expressway-knooppunten. Als het ICE-protocol (Interactive Connectivity Establishment) wordt gebruikt voor MRA-eindpunten, zijn signalering en mediacodering van de MRA-eindpunten vereist. Voor codering van de signalering en media tussen Expressway-C en de interne Unified CM-servers, interne eindpunten of andere interne apparaten is echter gemengde modus of SIP OAuth vereist.
Cisco Expressway biedt veilige firewall-traversal en lijnzijondersteuning voor Unified CM-registraties. Unified CM biedt gespreksbeheer voor zowel mobiele eindpunten als eindpunten op locatie. Signalering loopt door de Expressway-oplossing tussen het externe eindpunt en Unified CM. Media doorkruist de Expressway-oplossing en wordt direct doorgegeven tussen eindpunten. Alle media worden gecodeerd tussen de Expressway-C en het mobiele eindpunt.
Voor elke MRA-oplossing zijn Expressway en Unified CM vereist, met MRA-compatibele softclients en/of vaste eindpunten. De oplossing kan optioneel de IM en Presence-service en Unity Connection omvatten.
Samenvatting van het protocol
In de volgende tabel worden de protocollen en bijbehorende services weergegeven die worden gebruikt in de Unified CM-oplossing.
Protocol |
Beveiliging |
Service |
---|---|---|
SIP |
TLS |
Sessie-instelling: Registreren, uitnodigen, enz. |
HTTPS |
TLS |
Aanmelden, Inrichting/configuratie, Telefoonlijst, Visuele voicemail |
Media |
SRTP |
Media: Audio, video, inhoud delen |
XMPP |
TLS |
Chatberichten, aanwezigheid, federatie |
Zie voor meer informatie over de MRA-configuratie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Configuratie-opties
Het toegewezen exemplaar biedt de partner de flexibiliteit om services voor eindgebruikers aan te passen via het volledige beheer van de configuraties voor dag twee. Als gevolg daarvan is de Partner als enige verantwoordelijk voor de juiste configuratie van de Dedicated Instance-service voor de omgeving van de eindgebruiker. Dit omvat, maar is niet beperkt tot:
-
Veilige/onveilige gesprekken, veilige/onveilige protocollen zoals SIP/sSIP, http/https enz. kiezen en alle bijbehorende risico's begrijpen.
-
Voor alle MAC-adressen die niet zijn geconfigureerd als beveiligde SIP in Dedicated Instance, kan een aanvaller een SIP-registratiebericht verzenden met dat MAC-adres en SIP-gesprekken kunnen voeren, wat leidt tot fraude met tol. De perquisite is dat de aanvaller zijn/haar SIP-apparaat/software zonder autorisatie kan registreren bij Dedicated Instance als hij/zij het MAC-adres weet van een apparaat dat is geregistreerd in Dedicated Instance.
-
Expressway-E-gespreksbeleid, transformatie- en zoekregels moeten worden geconfigureerd om tolfraude te voorkomen. Raadpleeg het gedeelte Beveiliging voor Expressway C en Expressway-E van Collaboration SRND voor meer informatie over het voorkomen van tolfraude met Expressways.
-
Configuratie van het belplan om ervoor te zorgen dat gebruikers alleen bestemmingen kunnen kiezen die toegestaan zijn, bv. nationaal/internationaal bellen verbieden, noodoproepen correct omleiden enz. Raadpleeg het gedeelte Belplan van Collaboration SRND voor meer informatie over het toepassen van beperkingen met het belplan.
Certificaatvereisten voor veilige verbindingen in Dedicated Instance
Voor Dedicated Instance levert Cisco het domein en ondertekent alle certificaten voor de UC-toepassingen met een openbare certificeringsinstantie (CA).
Toegewezen exemplaar – poortnummers en protocollen
In de volgende tabellen worden de poorten en protocollen beschreven die worden ondersteund in Dedicated Instance. Poorten die voor een bepaalde klant worden gebruikt, zijn afhankelijk van de implementatie en oplossing van de klant. Protocollen hangen af van de voorkeur van de klant (SCCP vs. SIP), de bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten bij elke implementatie moeten worden gebruikt.
Dedicated Instance staat NAT (Network Address Translation) tussen eindpunten en Unified CM niet toe omdat sommige functies van de gespreksstroom niet werken, bijvoorbeeld de functie tijdens het gesprek. |
Toegewezen exemplaar – Klantpoorten
De poorten die beschikbaar zijn voor klanten - tussen de klant op locatie en het toegewezen exemplaar - worden weergegeven in tabel 1 Toegewezen exemplaar klantenpoorten. Alle onderstaande poorten zijn bedoeld voor klantverkeer dat door de peering-verbindingen loopt.
De SNMP-poort is alleen standaard geopend voor Cisco Emergency Responder ter ondersteuning van de functionaliteit. Aangezien we partners of klanten niet ondersteunen die de UC-toepassingen monitoren die in de Dedicated Instance-cloud worden geïmplementeerd, staan we het openen van de SNMP-poort voor andere UC-toepassingen niet toe. |
Poorten in het bereik 5063 tot 5080 worden door Cisco gereserveerd voor andere cloudintegraties, partnerbeheerders of klantbeheerders wordt aanbevolen deze poorten niet te gebruiken in hun configuraties. |
Protocol |
TCP/UDP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UC-toepassingen
|
Groter dan 1023 |
22 |
Beheer |
||
TFTP |
UDP |
Eindpunt |
Unified CM |
Groter dan 1023 |
69 |
Verouderde eindpuntondersteuning |
||
LDAP |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
389 |
Telefoonlijstsynchronisatie met LDAP van klant |
||
HTTPS |
TCP |
Browser |
UC-toepassingen |
Groter dan 1023 |
443 |
Webtoegang voor zelfzorg en administratieve interfaces |
||
Uitgaande Mail (BEVEILIGD) |
TCP |
UC-toepassing |
CUCxn |
Groter dan 1023 |
587 |
Wordt gebruikt om beveiligde berichten op te stellen en te verzenden naar aangewezen ontvangers |
||
LDAP (BEVEILIGD) |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
636 |
Telefoonlijstsynchronisatie met LDAP van klant |
||
H323 |
TCP |
Gateway |
Unified CM |
Groter dan 1023 |
1720 |
Gesprekssignalering |
||
H323 |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
1720 |
Gesprekssignalering |
||
SCCP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
2000 |
Gesprekssignalering |
||
SCCP |
TCP |
Unified CM |
Unified CM, gateway |
Groter dan 1023 |
2000 |
Gesprekssignalering |
||
MGCP |
UDP |
Gateway |
Gateway |
Groter dan 1023 |
2427 |
Gesprekssignalering |
||
MGCP-backhaul |
TCP |
Gateway |
Unified CM |
Groter dan 1023 |
2428 |
Gesprekssignalering |
||
SCCP (BEVEILIGD) |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
2443 |
Gesprekssignalering |
||
SCCP (BEVEILIGD) |
TCP |
Unified CM |
Unified CM, gateway |
Groter dan 1023 |
2443 |
Gesprekssignalering |
||
Verificatie van vertrouwen |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2445 |
Vertrouwensverificatieservice verstrekken aan eindpunten |
||
CTI |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2748 |
Verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager |
||
Beveiligde CTI |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
2749 |
Veilige verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager |
||
Algemene LDAP-catalogus |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
3268 |
Telefoonlijstsynchronisatie met LDAP van klant |
||
Algemene LDAP-catalogus |
TCP |
UC-toepassingen |
Externe telefoonlijst |
Groter dan 1023 |
3269 |
Telefoonlijstsynchronisatie met LDAP van klant |
||
CAPF-service |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
3804 |
CAPF-luisterpoort (Certificate Authority Proxy Function) voor het uitgeven van Locally Significant Certificates (LSC) aan IP-telefoons |
||
SIP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Groter dan 1023 |
5060 |
Gesprekssignalering |
||
SIP |
TCP |
Unified CM |
Unified CM, gateway |
Groter dan 1023 |
5060 |
Gesprekssignalering |
||
SIP (BEVEILIGD) |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
5061 |
Gesprekssignalering |
||
SIP (BEVEILIGD) |
TCP |
Unified CM |
Unified CM, gateway |
Groter dan 1023 |
5061 |
Gesprekssignalering |
||
SIP (OAUTH) |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
5090 |
Gesprekssignalering |
||
XMPP |
TCP |
Jabber-client |
Cisco IM&P |
Groter dan 1023 |
5222 |
Chatberichten en aanwezigheid |
||
HTTP |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6970 |
Configuratie en afbeeldingen downloaden naar eindpunten |
||
HTTPS |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6971 |
Configuratie en afbeeldingen downloaden naar eindpunten |
||
HTTPS |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
6972 |
Configuratie en afbeeldingen downloaden naar eindpunten |
||
HTTP |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7080 |
Voicemailmeldingen |
||
HTTPS |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7443 |
Beveiligde voicemailmeldingen |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
7501 |
Gebruikt door de Intercluster Lookup Service (ILS) voor verificatie op basis van certificaten |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Groter dan 1023 |
7502 |
Gebruikt door ILS voor verificatie op basis van wachtwoord |
||
IMAP |
TCP |
Jabber-client |
CUCxn |
Groter dan 1023 |
7993 |
IMAP over TLS |
||
HTTP |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
8080 |
Directory-URI voor ondersteuning van verouderde eindpunten |
||
HTTPS |
TCP |
Browser, eindpunt |
UC-toepassingen |
Groter dan 1023 |
8443 |
Webtoegang voor zelfzorg en administratieve interfaces, UDS |
||
HTTPS |
TCP |
Telefoonnummer |
Unified CM |
Groter dan 1023 |
9443 |
Geverifieerde contactpersoon zoeken |
||
HTTP's |
TCP |
Eindpunt |
Unified CM |
Groter dan 1023 |
9444 |
Functie voor hoofdtelefoonbeheer |
||
Beveiligde RTP/SRTP |
UDP |
Unified CM |
Telefoonnummer |
16384 tot 32767 |
16384 tot 32767 |
Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (geopend op basis van gesprekssignalering) |
||
Beveiligde RTP/SRTP |
UDP |
Telefoonnummer |
Unified CM |
16384 tot 32767 |
16384 tot 32767 |
Media (audio) - Muziek tijdens wachtstand, Annunciator, Software Conference Bridge (geopend op basis van gesprekssignalering) |
||
COBRA's |
TCP |
Client |
CUCxn |
Groter dan 1023 |
20532 |
Back-up maken en toepassingssuite herstellen |
||
ICMP |
ICMP |
Eindpunt |
UC-toepassingen |
N.v.t. |
N.v.t. |
Ping |
||
ICMP |
ICMP |
UC-toepassingen |
Eindpunt |
N.v.t. |
N.v.t. |
Ping |
||
DNS | UDP en TCP |
DNS-forwarder |
DNS-servers toegewezen exemplaar |
Groter dan 1023 |
53 |
DNS-forwarders op locatie van klant naar DNS-servers voor toegewezen exemplaar. Zie DNS-vereisten voor meer informatie. |
||
* Bepaalde speciale gevallen kunnen een groter bereik gebruiken. |
Toegewezen exemplaar – OTT-poorten
De volgende poort kan door klanten en partners worden gebruikt voor het instellen van Mobile and Remote Access (MRA):
Protocol |
TCP/UCP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
---|---|---|---|---|---|---|
BEVEILIGDE RTP/RTCP |
UDP |
Expressway C |
Client |
Groter dan 1023 |
36000-59999 |
Beveiligde media voor MRA- en B2B-gesprekken |
Inter-op SIP-trunk tussen Multitenant en Dedicated Instance (alleen voor op registratie gebaseerde trunk)
De volgende lijst met poorten moet zijn toegestaan in de firewall van de klant voor de op registratie gebaseerde SIP-trunk die verbinding maakt tussen de multitenant en het toegewezen exemplaar.
Protocol |
TCP/UCP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling multitenant |
Client |
Groter dan 1023 |
8000-48198 |
Media van Webex Calling Multitenant |
Toegewezen exemplaar – UCCX-poorten
De volgende lijst met poorten kan worden gebruikt door klanten en partners voor het configureren van UCCX.
Protocol |
TCP / UCP |
Bron |
Bestemming |
Bronpoort |
Bestemmingspoort |
Doel |
---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Groter dan 1023 |
22 |
SFTP en SSH |
Informix |
TCP |
Client of server |
UCCX |
Groter dan 1023 |
1504 |
Poort Contact Center Express-database |
SIP |
UDP en TCP |
SIP GW- of MCRP-server |
UCCX |
Groter dan 1023 |
5065 |
Communicatie naar externe GW- en MCRP-knooppunten |
XMPP |
TCP |
Client |
UCCX |
Groter dan 1023 |
5223 |
Veilige XMPP-verbinding tussen de Finesse-server en aangepaste toepassingen van derden |
HVZ |
TCP |
Client |
UCCX |
Groter dan 1023 |
6999 |
Editor voor CCX-toepassingen |
HTTPS |
TCP |
Client |
UCCX |
Groter dan 1023 |
7443 |
Beveiligde BOSH-verbinding tussen de Finesse-server en de desktops van de agent en supervisor voor communicatie via HTTPS |
HTTP |
TCP |
Client |
UCCX |
Groter dan 1023 |
8080 |
Clients voor het rapporteren van live gegevens maken verbinding met een socket.IO-server |
HTTP |
TCP |
Client |
UCCX |
Groter dan 1023 |
8081 |
Clientbrowser probeert toegang te krijgen tot de webinterface van Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Groter dan 1023 |
8443 |
Beheer-GUI, RTMT, DB-toegang via SOAP |
HTTPS |
TCP |
Client |
UCCX |
Groter dan 1023 |
8444 |
Cisco Unified Intelligence Center-webinterface |
HTTPS |
TCP |
Browser- en REST-clients |
UCCX |
Groter dan 1023 |
8445 |
Veilige poort voor Finesse |
HTTPS |
TCP |
Client |
UCCX |
Groter dan 1023 |
8447 |
HTTPS - Unified Intelligence Center online help |
HTTPS |
TCP |
Client |
UCCX |
Groter dan 1023 |
8553 |
Componenten voor eenmalige aanmelding (SSO) hebben toegang tot deze interface om de bedrijfsstatus van Cisco IdS te weten. |
HTTP |
TCP |
Client |
UCCX |
Groter dan 1023 |
9080 |
Clients die toegang proberen te krijgen tot HTTP-triggers of documenten / prompts / grammars / live gegevens. |
HTTPS |
TCP |
Client |
UCCX |
Groter dan 1023 |
9443 |
Veilige poort die wordt gebruikt om te reageren op clients die toegang proberen te krijgen tot HTTPS-triggers |
TCP |
TCP |
Client |
UCCX |
Groter dan 1023 |
12014 |
Dit is de poort waar live-gegevensrapportclients verbinding kunnen maken met de socket.IO-server |
TCP |
TCP |
Client |
UCCX |
Groter dan 1023 |
12015 |
Dit is de poort waar live-gegevensrapportclients verbinding kunnen maken met de socket.IO-server |
CTI |
TCP |
Client |
UCCX |
Groter dan 1023 |
12028 |
CTI-client van derden naar CCX |
RTP (Media) |
TCP |
Eindpunt |
UCCX |
Groter dan 1023 |
Groter dan 1023 |
Mediapoort wordt indien nodig dynamisch geopend |
RTP (Media) |
TCP |
Client |
Eindpunt |
Groter dan 1023 |
Groter dan 1023 |
Mediapoort wordt indien nodig dynamisch geopend |
Beveiliging van de klant
Jabber en Webex beveiligen met SIP OAuth
Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor de proxyfunctie van de certificeringsinstantie (CAPF) niet moet worden ingeschakeld (ook voor MRA). SIP OAuth werkt met of zonder gemengde modus is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.
In Cisco Unified CM 12.5 hebben we een nieuwe optie in het telefoonbeveiligingsprofiel waarmee codering zonder LSC/CAPF wordt ingeschakeld met één TLS-token (Transport Layer Security) + OAuth in SIP REGISTER. Expressway-C-knooppunten gebruiken de API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in hun certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van een gemeenschappelijke TLS-verbinding.
SIP OAuth schakelt media- en signaleringscodering in zonder eindpuntcertificaat (LSC).
Cisco Jabber gebruikt Ephemeral-poorten en beveiligt de poorten 6971 en 6972 via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort die kan worden gedownload via HTTP.
Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.
DNS-vereisten
Voor toegewezen exemplaar biedt Cisco de FQDN voor de service in elke regio de volgende indeling <klant>.<regio>.wxc-di.webex.com bijvoorbeeld, xyz.amer.wxc-di.webex.com.
De beheerder geeft de waarde 'klant' als onderdeel van de wizard voor de eerste installatie (FTSW). Raadpleeg Service-activering toegewezen exemplaar voor meer informatie.
DNS-records voor deze FQDN moeten kunnen worden opgelost via de interne DNS-server van de klant om apparaten op locatie te ondersteunen die verbinding maken met het toegewezen exemplaar. Om de oplossing te vergemakkelijken, moet de klant een voorwaardelijke doorschakelen configureren voor deze FQDN op zijn/haar DNS-server die verwijst naar de DNS-service voor toegewezen exemplaar. De DNS-service voor toegewezen exemplaar is regionaal en kan worden bereikt via de peering naar Toegewezen exemplaar met behulp van de volgende IP-adressen zoals vermeld in de onderstaande tabel IP-adres voor toegewezen exemplaar DNS-service.
Regio/DC | IP-adres DNS-service toegewezen exemplaar |
Voorbeeld van voorwaardelijk doorschakelen |
---|---|---|
AMER |
<klant>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<klant>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<klant>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<klant>.apjc.wxc-di.webex.com |
|
ZONDE |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<klant>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
De ping-optie is om veiligheidsredenen uitgeschakeld voor de bovengenoemde IP-adressen van de DNS-server. |
Apparaten kunnen zich niet registreren bij het toegewezen exemplaar via de peeringkoppelingen vanaf het interne netwerk van de klant totdat de voorwaardelijke doorschakeling is ingesteld. Voorwaardelijk doorschakelen is niet vereist voor registratie via Mobile and Remote Access (MRA), omdat alle vereiste externe DNS-records om MRA te vergemakkelijken vooraf worden ingericht door Cisco.
Wanneer u de Webex-toepassing gebruikt als uw Calling-softclient op Dedicated Instance, moet een UC Manager-profiel worden geconfigureerd in Control Hub voor het Voice Service Domain (VSD) van elke regio. Raadpleeg UC Manager-profielen in Cisco Webex Control Hub voor meer informatie. De Webex-toepassing kan de Expressway Edge van de klant automatisch oplossen zonder tussenkomst van een eindgebruiker.
Het spraakservicedomein wordt aan de klant verstrekt als onderdeel van het toegangsdocument voor partners zodra de serviceactivering is voltooid. |
Een lokale router gebruiken voor DNS-resolutie van de telefoon
Voor telefoons die geen toegang hebben tot de DNS-servers van het bedrijf, is het mogelijk om een lokale Cisco-router te gebruiken om DNS-verzoeken door te sturen naar de cloud-DNS van Dedicated Instance. Hierdoor hoeft u geen lokale DNS-server te implementeren en biedt u volledige DNS-ondersteuning, inclusief caching.
Voorbeeldconfiguratie :
.
ip-dns-server
ip-naam-server <DI DNS-server IP DC1> <DI DNS-server IP DC2>
.
Het DNS-gebruik in dit implementatiemodel is specifiek voor telefoons en kan alleen worden gebruikt om FQDN's op te lossen met het domein van het toegewezen exemplaar van de klant. |
Verwijzingen
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), beveiligingsonderwerp: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Beveiligingshandleiding voor Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html