- Hjem
- /
- Artikkel
Dedikerte nettverks- og sikkerhetskrav for forekomst
Nettverks- og sikkerhetskrav for dedikert forekomst-løsning er den lagdelte tilnærmingen til funksjonene og funksjonaliteten som gir sikker fysisk tilgang, nettverk, endepunkter og Cisco UC -applikasjoner. Den beskriver nettverkskravene og viser adressene, portene og protokollene som brukes for å koble endepunktene til tjenestene.
Nettverkskrav for dedikert forekomst
Webex Calling Dedicated Instance er en del av Cisco Cloud Calling-porteføljen, drevet av samarbeidsteknologien Cisco Unified Communications Manager (Cisco Unified CM). Dedikert forekomst tilbyr tale-, video-, meldings- og mobilitetsløsninger med funksjonene og fordelene til Cisco IP-telefoner, mobile enheter og stasjonære klienter som kobles sikkert til den dedikerte forekomsten.
Denne artikkelen er beregnet på nettverksadministratorer, spesielt brannmur- og proxy-sikkerhetsadministratorer som ønsker å bruke dedikert forekomst i organisasjonen.
Sikkerhetsoversikt: Sikkerhet i lag
Dedikert forekomst bruker en lagdelt tilnærming for sikkerhet. Lagene inkluderer:
-
Fysisk tilgang
-
Nettverk
-
Endepunkter
-
UC-applikasjoner
De følgende delene beskriver sikkerhetslagene i dedikerte forekomstdistribusjoner.
Fysisk sikkerhet
Det er viktig å gi fysisk sikkerhet til Equinix Meet-Me Room-plasseringer og Ciscos dedikerte forekomstdatasenter. Når den fysiske sikkerheten er kompromittert, kan det initieres enkle angrep som tjenesteavbrudd ved å slå av strømmen til en kundes svitjer. Med fysisk tilgang kan angripere få tilgang til serverenheter, tilbakestille passord og få tilgang til svitjer. Fysisk tilgang legger også til rette for mer sofistikerte angrep som mann-i-midt-angrep, og det er grunnen til at det andre sikkerhetslaget, nettverkssikkerhet, er avgjørende.
Selvkrypterende stasjoner brukes i dedikerte forekomstdatasentre som er vert for UC-applikasjoner.
Hvis du vil ha mer informasjon om generell sikkerhetspraksis, kan du se dokumentasjonen på følgende sted:https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .
Nettverkssikkerhet
Partnere må sikre at alle nettverkselementer er sikret i dedikert forekomst-infrastruktur (som kobles til via Equinix). Det er partnerens ansvar å sikre beste praksis for sikkerhet, for eksempel:
-
Separat VLAN for tale og data
-
Aktiver Port Security som begrenser antall tillatte MAC-adresser per port, mot CAM-tabelloversvømmelse
-
IP-kilde beskytter mot forfalskede IP-adresser
-
Dynamic ARP Inspection (DAI) undersøker adresseoppløsningsprotokollen (ARP) og umotivert ARP (GARP) for brudd (mot ARP-forfalskning)
-
802.1x begrenser nettverkstilgangen til å autentisere enheter på tilordnede VLAN (telefoner støtter 802.1x )
-
Konfigurasjon av tjenestekvalitet (QoS) for riktig merking av talepakker
-
Brannmurportkonfigurasjoner for å blokkere all annen trafikk
Sikkerhet for endepunkter
Cisco-endepunkter støtter standard sikkerhetsfunksjoner som signert fastvare, sikker oppstart (valgte modeller), produsentinstallert sertifikat (MIC) og signerte konfigurasjonsfiler, som gir et visst sikkerhetsnivå for endepunkter.
I tillegg kan en partner eller kunde aktivere ekstra sikkerhet, for eksempel:
-
Krypter IP-telefon (via HTTPS) for tjenester som Extension Mobility
-
Utstede lokalt signifikante sertifikater (LSC-er) fra proxyfunksjon for sertifiseringsinstans (CAPF) eller en offentlig sertifiseringsinstans (CA)
-
Krypter konfigurasjonsfiler
-
Krypter medier og signalisering
-
Deaktiver disse innstillingene hvis de ikke brukes: PC-port, PC-tale VLAN-tilgang, Gratuitous ARP, Netttilgang, Innstillinger-knapp, SSH, konsoll
Implementering av sikkerhetsmekanismer i den dedikerte forekomsten forhindrer identitetstyveri av telefonene og Unified CM-server, datasauksjon og manipulering av samtalesignaler/mediestrømmer.
Dedikert forekomst over nettverket:
-
Etablerer og vedlikeholder godkjente kommunikasjonsstrømmer
-
Signerer filer digitalt før filen overføres til telefonen
-
Krypterer mediestrømmer og samtalesignaler mellom Cisco Unified IP-telefoner
Sikkerhet gir som standard følgende automatiske sikkerhetsfunksjoner for Cisco Unified IP-telefoner:
-
Signering av telefonkonfigurasjon
-
Støtte for kryptering av telefonkonfigurasjon
-
HTTPS med Tomcat og andre netttjenester (MIDlets)
For Unified CM versjon 8.0 senere leveres disse sikkerhetsfunksjonene som standard uten å kjøre CTL-klienten (Certificate Trust List).
Tjeneste for tillitsbekreftelseSiden det er et stort antall telefoner i et nettverk og IP-telefoner har begrenset minne, fungerer Cisco Unified CM som et eksternt klareringslager gjennom Trust Verification Service (TVS), slik at det ikke må plasseres et klareringslager for sertifikater på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for bekreftelse fordi de ikke kan bekrefte en signatur eller sertifikat via CTL- eller ITL-filer. Å ha et sentralt klareringslager er enklere å administrere enn å ha klareringslageret på hver Cisco Unified IP-telefon.
TVS gjør det mulig for Cisco Unified IP-telefoner å autentisere applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet, under HTTPS-etablering.
Første klareringslisteITL-filen (Initial Trust List) brukes til den første sikkerheten, slik at endepunktene kan klarere Cisco Unified CM. ITL trenger ingen sikkerhetsfunksjoner for å være aktivert eksplisitt. ITL-filen opprettes automatisk når klyngen installeres. Den private nøkkelen til Unified CM TFTP-serveren (Trivial File Transfer Protocol) brukes til å signere ITL-filen.
Når Cisco Unified CM -klyngen eller -serveren er i usikker sikker modus, lastes ITL-filen ned til alle støttede Cisco IP-telefon. En partner kan vise innholdet i en ITL-fil ved hjelp av CLI-kommando, admin:show itl.
Cisco IP-telefoner trenger ITL-filen for å utføre følgende oppgaver:
-
Kommuniser sikkert til CAPF, en forutsetning for å støtte konfigurasjonsfil
-
Autentiser konfigurasjonsfil
-
Autentisere applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet under HTTPS-etablering ved hjelp av TVS
Enhets-, fil- og signalautentisering er avhengig av at det opprettes en CTL-fil (Certificate Trust List), som opprettes når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.
CTL-fil inneholder oppføringer for følgende servere eller sikkerhetstokener:
-
Systemadministrators sikkerhetstoken (SAST)
-
Cisco CallManager og Cisco TFTP-tjenester som kjører på samme server
-
Proxy-funksjon for sertifiseringsinstans (CAPF)
-
TFTP-server(e)
-
ASA-brannmur
CTL-fil inneholder et serversertifikat, fellesnøkkel, serienummer, signatur, utstedernavn, emnenavn, serverfunksjon, DNS-navn og IP-adresse for hver server.
Telefonsikkerhet med CTL gir følgende funksjoner:
-
Autentisering av TFTP-nedlastede filer (konfigurasjon, nasjonal innstilling, ringeliste og så videre) ved hjelp av en signeringsnøkkel
-
Kryptering av TFTP-konfigurasjonsfiler ved hjelp av en signeringsnøkkel
-
Kryptert samtalesignalering for IP-telefoner
-
Kryptert samtalelyd (media) for IP-telefoner
Dedikert forekomst gir endepunktregistrering og samtalebehandling. Signaleringen mellom Cisco Unified CM og endepunkter er basert på SCCP (Secure Skinny Client Control Protocol ) eller SIP-protokoll (øktinitieringsprotokolll) og kan krypteres med transportlagsikkerhet (TLS). Mediene fra/til endepunktene er basert på Real-time Transport Protocol (RTP) og kan også krypteres ved hjelp av Secure RTP (SRTP).
Aktivering av blandet modus på Unified CM aktiverer kryptering av signaliserings- og medietrafikk fra og til Cisco-endepunktene.
Sikre UC-applikasjoner
Aktiverer blandet modus i dedikert forekomstBlandet modus er aktivert som standard i Dedikert forekomst.
Aktivering av blandet modus i dedikert forekomst gir mulighet til å utføre kryptering av signaliserings- og medietrafikk fra og til Cisco-endepunktene.
I Cisco Unified CM -versjon 12.5(1) ble et nytt alternativ for å aktivere kryptering av signalisering og medier basert på SIP OAuth i stedet for blandet modus/CTL lagt til for Jabber- og Webex-klienter. I Unified CM versjon 12.5(1), kan derfor SIP OAuth og SRTP brukes til å aktivere kryptering for signalisering og medier for Jabber- eller Webex-klienter. Aktivering av blandet modus er fortsatt nødvendig for Cisco IP-telefoner og andre Cisco-endepunkter på dette tidspunktet. Det er en plan om å legge til støtte for SIP OAuth i 7800/8800-endepunkter i en fremtidig utgivelse.
Sikkerhet for talemeldingerCisco Unity Connection kobles til Unified CM via TLS-porten. Når enhetens sikkerhetsmodus er usikker, kobles Cisco Unity Connection til Unified CM via SCCP-porten.
Hvis du vil konfigurere sikkerhet for Unified CM -talemeldingsporter og Cisco Unity -enheter som kjører SCCP eller Cisco Unity Connection -enheter som kjører SCCP, kan en partner velge en sikker enhetssikkerhetsmodus for porten. Hvis du velger en godkjent talepostport, åpnes en TLS-tilkobling som autentiserer enhetene ved hjelp av en felles sertifikatutveksling (hver enhet godtar sertifikatet til den andre enheten). Hvis du velger en kryptert talepostport, autentiserer systemet først enhetene og sender deretter krypterte talestrømmer mellom enhetene.
Hvis du vil ha mer informasjon om sikkerhet, talemeldingsporter, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhet for SRST, trunker, gatewayer, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST)-aktivert gateway gir begrensede samtalebehandlingsoppgaver hvis Cisco Unified CM på dedikert forekomst ikke kan fullføre samtalen.
Sikre SRST-aktiverte gatewayer inneholder et selvsignert sertifikat. Når en partner har utført SRST-konfigurasjonsoppgaver i Unified CM-administrasjon, bruker Unified CM en TLS-tilkobling til å autentisere med sertifikatleverandørtjenesten i den SRST-aktivert gateway. Unified CM henter deretter sertifikatet fra den SRST-aktivert gateway og legger til sertifikatet i Unified CM -databasen.
Når partneren har tilbakestilt de avhengige enhetene i Unified CM-administrasjon, legger TFTP-serveren til det SRST-aktivert gateway gatewaysertifikatet i telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling til å samhandle med den SRST-aktivert gateway.
Det anbefales å ha sikre trunker for samtalen som kommer fra Cisco Unified CM til gatewayen for utgående PSTN-anrop eller som krysser Cisco Unified Border Element (CUBE).
SIP-trunker kan støtte sikre samtaler både for signalisering og medier; TLS gir signalkryptering og SRTP gir mediekryptering.
Sikre kommunikasjon mellom Cisco Unified CM og CUBE
For sikker kommunikasjon mellom Cisco Unified CM og CUBE må partnere/kunder bruke enten selvsignert sertifikat eller CA-signerte sertifikater.
For selvsignerte sertifikater:
-
CUBE og Cisco Unified CM genererer selvsignerte sertifikater
-
CUBE eksporterer sertifikatet til Cisco Unified CM
-
Cisco Unified CM eksporterer sertifikatet til CUBE
For CA-signerte sertifikater:
-
Klienten genererer et nøkkelpar og sender en forespørsel om sertifikatsignering (CSR) til sertifiseringsinstans (CA)
-
Sertifiseringsinstansen signerer den med sin private nøkkel, og oppretter et identitetssertifikat
-
Klienten installerer listen over klarerte CA-rot- og mellomsertifikater og identitetssertifikatet
Sikkerhet for eksterne endepunkter
Med MRA-endepunkter (Mobile and Remote Access ) krypteres alltid signaliseringen og mediet mellom MRA-endepunktene og Expressway-nodene. Hvis ICE-protokollen (Interactive Connectivity Establishment) brukes for MRA-endepunkter, kreves signalisering og mediekryptering av MRA-endepunktene. Kryptering av signalisering og media mellom Expressway-C og de interne Unified CM -serverne, interne endepunkter eller andre interne enheter krever imidlertid blandet modus eller SIP OAuth.
Cisco Expressway gir sikker brannmurgjennomgang og linjesidestøtte for Unified CM -registreringer. Unified CM gir samtalekontroll for både mobile og lokale endepunkter. Signalering krysser Expressway-løsningen mellom det eksterne endepunktet og Unified CM. Medier krysser Expressway-løsningen og videresendes direkte mellom endepunkter. Alle medier krypteres mellom Expressway-C og det mobile endepunktet.
Alle MRA-løsninger krever Expressway og Unified CM, med MRA-kompatible myke klienter og/eller faste endepunkter. Løsningen kan eventuelt inkludere chat- og tilstedeværelsestjeneste og Unity Connection.
Protokollsammendrag
Tabellen nedenfor viser protokollene og tilknyttede tjenester som brukes i Unified CM -løsningen.
Protokoll |
Sikkerhet |
Tjeneste |
---|---|---|
SIP |
TLS |
Etablering av økt: Registrer deg, inviter osv. |
HTTPS |
TLS |
Pålogging, klargjøring/konfigurasjon, katalog, visuell talepost |
Medier |
SRTP |
Medier: Lyd, video, innholdsdeling |
XMPP |
TLS |
Direktemeldinger, tilstedeværelse, føderasjon |
Hvis du vil ha mer informasjon om MRA-konfigurasjon, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurasjonsalternativer
Den dedikerte forekomsten gir Partner fleksibilitet til å tilpasse tjenester for sluttbrukere gjennom full kontroll over dag to-konfigurasjoner. Som et resultat av dette er partneren eneansvarlig for riktig konfigurasjon av tjenesten dedikert forekomst for sluttbrukerens miljø. Dette inkluderer, men ikke begrenset til:
-
Velge sikre/usikre samtaler, sikre/usikre protokoller som SIP/sSIP, http/https osv. og forstå eventuelle risikoer.
-
For alle MAC-adresser som ikke er konfigurert som sikker SIP i dedikert forekomst, kan en angriper sende SIP-registermelding ved hjelp av denne MAC-adresse og kunne foreta SIP-anrop, noe som resulterer i avgiftssvindel. Forutsetningen er at angriperen kan registrere SIP-enhet/programvaren til dedikert forekomst uten autorisasjon hvis de kjenner til MAC-adresse til en enhet som er registrert i dedikert forekomst.
-
Expressway-E-anropspolicyer, transformasjon og søkeregler bør konfigureres for å forhindre svindel med avgifter. Hvis du vil ha mer informasjon om hvordan du forhindrer svindel med avgifter ved bruk av Expressways, kan du se delen Sikkerhet for Expressway C og Expressway-E i Samarbeid SRND .
-
Konfigurasjon av ringeplan for å sikre at brukere bare kan ringe destinasjoner som er tillatt, for eksempel forby nasjonale/internasjonale oppringing, nødanrop rutes riktig osv. Hvis du vil ha mer informasjon om bruk av begrensninger ved hjelp av ringeplan, se Oppringingsplan delen av SRND for samarbeid.
Sertifikatkrav for sikre tilkoblinger i dedikert forekomst
For dedikert forekomst vil Cisco oppgi domenet og signere alle sertifikatene for UC-applikasjonene ved hjelp av en offentlig sertifiseringsinstans (CA).
Dedikert forekomst – portnumre og protokoller
Tabellene nedenfor beskriver portene og protokollene som støttes i dedikert forekomst. Porter som brukes for en gitt kunde, avhenger av kundens distribusjon og løsning. Protokoller avhenger av kundens preferanse (SCCP vs SIP), eksisterende lokale enheter og hvilket sikkerhetsnivå som skal bestemme hvilke porter som skal brukes i hver distribusjon.
Dedikert forekomst tillater ikke oversettelse av nettverksadresse (NAT) mellom endepunkter og Unified CM , fordi noen av samtaleflytfunksjonene ikke fungerer, for eksempel funksjonen funksjon under samtale.
Dedikert forekomst – kundeporter
Portene som er tilgjengelige for kunder – mellom den lokale kunden og den dedikerte forekomsten, vises i tabell 1 Dedikerte kundeporter for forekomst . Alle portene som er oppført nedenfor, er for kundetrafikk som krysser peering-koblingene.
SNMP-porten er bare åpen som standard for Cisco Emergency Responder for å støtte funksjonaliteten. Siden vi ikke støtter partnere eller kunder som overvåker UC-applikasjoner distribuert i skyen for dedikert forekomst, tillater vi ikke åpning av SNMP-port for andre UC-applikasjoner.
Porter i området 5063 til 5080 er reservert av Cisco for andre skyintegreringer, partner- eller kundeadministratorer anbefales ikke å bruke disse portene i konfigurasjonene sine.
Protokoll |
TCP/UDP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Formål |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UC-applikasjoner Ikke tillatt for Cisco Expressway programmer. |
Større enn 1023 |
22 |
Administrasjon |
TFTP |
UDP |
Endepunkt |
Unified CM |
Større enn 1023 |
69 |
Støtte for eldre endepunkter |
LDAP |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
389 |
Katalogsynkronisering til kunde-LDAP |
HTTPS |
TCP |
Nettleser |
UC-applikasjoner |
Større enn 1023 |
443 |
Netttilgang for egenomsorg og administrative grensesnitt |
Utgående e-post (SIKR) |
TCP |
UC-applikasjon |
CUCxn |
Større enn 1023 |
587 |
Brukes til å skrive og sende sikre meldinger til alle angitte mottakere |
LDAP (SIKR) |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
636 |
Katalogsynkronisering til kunde-LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Større enn 1023 |
1720 |
Samtalesignalering |
H323 |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
1720 |
Samtalesignalering |
SCCP |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
2000 |
Samtalesignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
2000 |
Samtalesignalering |
MGCP |
UDP |
Gateway |
Gateway |
Større enn 1023 |
2427 |
Samtalesignalering |
MGCP-backhaul |
TCP |
Gateway |
Unified CM |
Større enn 1023 |
2428 |
Samtalesignalering |
SCCP (SIKR) |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
2443 |
Samtalesignalering |
SCCP (SIKR) |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
2443 |
Samtalesignalering |
Klareringsbekreftelse |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2445 |
Tilbyr tjeneste for tillitsverifisering til endepunkter |
CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2748 |
Tilkobling mellom CTI-applikasjoner (JTAPI/TSP) og CTIManager |
Sikker CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2749 |
Sikker tilkobling mellom CTI-applikasjoner (JTAPI/TSP) og CTIManager |
Global LDAP-katalog |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
3268 |
Katalogsynkronisering til kunde-LDAP |
Global LDAP-katalog |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
3269 |
Katalogsynkronisering til kunde-LDAP |
CAPF-tjeneste |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
3804 |
CAPF-lytteport ( sertifiseringsinstans Proxy Function) for utstedelse av LSC (Locally Significant Certificates) til IP-telefoner |
SIP |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
5060 |
Samtalesignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
5060 |
Samtalesignalering |
SIP (SIKR) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5061 |
Samtalesignalering |
SIP (SIKR) |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
5061 |
Samtalesignalering |
SIP (OAUTH) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5090 |
Samtalesignalering |
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Større enn 1023 |
5222 |
Direktemeldinger og tilstedeværelse |
HTTP |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6970 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6971 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6972 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7080 |
Talepostvarsler |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7443 |
Sikre talepostvarsler |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7501 |
Brukes av oppslagstjeneste for klynger (ILS) for sertifikatbasert autentisering |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7502 |
Brukes av ILS for passordbasert autentisering |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7993 |
IMAP over TLS |
HTTP |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
8080 |
Katalog-URI for eldre endepunktstøtte |
HTTPS |
TCP |
Nettleser, endepunkt |
UC-applikasjoner |
Større enn 1023 |
8443 |
Netttilgang for egenomsorgs- og administrative grensesnitt, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Større enn 1023 |
9443 |
Autentisert kontaktsøk |
HTTP-er |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
9444 |
Administrasjonsfunksjon for headset |
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – ventemusikk, Annunciator, Software Conference Bridge (åpen basert på samtalesignalering) |
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Medier (lyd) – ventemusikk, Annunciator, Software Conference Bridge (åpen basert på samtalesignalering) |
KOBRAS |
TCP |
Klient |
CUCxn |
Større enn 1023 |
20532 |
Sikkerhetskopier og gjenopprett programserie |
ICMP |
ICMP |
Endepunkt |
UC-applikasjoner |
ikke tilgjengelig |
ikke tilgjengelig |
Ping |
ICMP |
ICMP |
UC-applikasjoner |
Endepunkt |
ikke tilgjengelig |
ikke tilgjengelig |
Ping |
DNS | UDP og TCP |
DNS-videresending |
Dedikerte DNS-servere for forekomst |
Større enn 1023 |
53 |
Kundepremiss DNS-videresendinger til dedikerte DNS-servere for forekomst. Se DNS-krav hvis du vil ha mer informasjon. |
* Enkelte spesialtilfeller kan bruke et større område. |
Dedikert forekomst – OTT-porter
Følgende port kan brukes av kunder og partnere for oppsett av mobil og Remote Access (MRA):
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Formål |
---|---|---|---|---|---|---|
SIKKER RTP/RTCP |
UDP |
Ekspressvei C |
Klient |
Større enn 1023 |
36000-59999 |
Sikre medier for MRA- og B2B-samtaler |
Inter-op SIP-trunk mellom multitenant og dedikert forekomst (kun for registreringsbasert trunk)
Følgende liste over porter må være tillatt på kundens brannmur for den registreringsbaserte SIP-trunk -trunken som kobler til mellom flertenant og dedikert forekomst.
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Formål |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Klient |
Større enn 1023 |
8000-48198 |
Medier fra Webex Calling Multitenant |
Dedikert forekomst – UCCX-porter
Følgende liste over porter kan brukes av kunder og partnere for å konfigurere UCCX.
Protokoll |
TCP / UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Formål |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Større enn 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Større enn 1023 |
1504 |
Kontakt Center Express-databaseport |
SIP |
UDP og TCP |
SIP GW- eller MCRP-server |
UCCX |
Større enn 1023 |
5065 |
Kommunikasjon til eksterne GW- og MCRP-noder |
XMPP |
TCP |
Klient |
UCCX |
Større enn 1023 |
5223 |
Sikker XMPP-tilkobling mellom Finesse-serveren og egendefinerte tredjepartsprogrammer |
CVD |
TCP |
Klient |
UCCX |
Større enn 1023 |
6999 |
Redigerer for CCX-applikasjoner |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
7443 |
Sikker BOSH-tilkobling mellom Finesse-serveren og skrivebordene for agent og leder for kommunikasjon over HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8080 |
Klienter for live-datarapportering kobles til en socket.IO-server |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8081 |
Klientleser prøver å få tilgang til Cisco Unified Intelligence Center webgrensesnitt |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8443 |
Administrasjonsgrensesnitt, RTMT, DB-tilgang over SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8444 |
webgrensesnitt for Cisco Unified Intelligence Center |
HTTPS |
TCP |
Nettleser- og REST-klienter |
UCCX |
Større enn 1023 |
8445 |
Sikker port for Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8447 |
HTTPS – elektronisk hjelp for Unified Intelligence Center |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8553 |
Engangspåloggingskomponenter (SSO) får tilgang til dette grensesnittet for å vite driftsstatusen til Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
9080 |
Klienter som prøver å få tilgang til HTTP-utløsere eller dokumenter/forespørsler/grammatikk/ direktedata. |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
9443 |
Sikker port som brukes til å svare på klienter som prøver å få tilgang til HTTPS-utløsere |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12014 |
Dette er porten der rapporteringsklienter for live-data kan koble til socket.IO-serveren |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12015 |
Dette er porten der rapporteringsklienter for live-data kan koble til socket.IO-serveren |
CTI |
TCP |
Klient |
UCCX |
Større enn 1023 |
12028 |
Tredjeparts CTI-klient til CCX |
RTP(medier) |
TCP |
Endepunkt |
UCCX |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
RTP(medier) |
TCP |
Klient |
Endepunkt |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
Klientsikkerhet
Sikre Jabber og Webex med SIP OAuth
Jabber- og Webex-klienter autentiseres gjennom et OAuth-token i stedet for et lokalt viktig sertifikat (LSC), som ikke krever aktivering av CAPF-funksjonen ( proxyfunksjon for sertifiseringsinstans Function) (også for MRA). SIP OAuth som fungerer med eller uten blandet modus, ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi et nytt alternativ i Phone Security Profile som muliggjør kryptering uten LSC/CAPF, ved hjelp av enkelt transportlagsikkerhet (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker AXL (Administrative XML Web Service) til å informere Cisco Unified CM om SN/SAN i sertifikatet. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-sertifikatet når du oppretter en felles TLS-tilkobling.
SIP OAuth aktiverer medie- og signalkryptering uten et endepunktssertifikat (LSC).
Cisco Jabber bruker flyktige porter og sikre porter 6971 og 6972 via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en ikke-sikker port for nedlasting via HTTP.
Mer informasjon om SIP OAuth-konfigurasjon: SIP OAuth-modus .
DNS-krav
For dedikerte forekomster gir Cisco FQDN for tjenesten i hver region med følgende format . .wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com .
«Kunde»-verdien oppgis av administrator som en del av veiviser for første gangs installasjon (FTSW). Hvis du vil ha mer informasjon, se Dedikert aktivering av forekomsttjeneste .
DNS-oppføringer for dette FQDN må kunne løses fra kundens interne DNS-server for å støtte lokale enheter som kobler til den dedikerte forekomsten. For å forenkle løsningen må kunden konfigurere en betinget videresending, for dette FQDN, på sin DNS-server som peker til den dedikerte forekomst DNS-tjenesten. DNS-tjenesten for dedikert forekomst er regional og kan nås via peering til dedikert forekomst ved hjelp av følgende IP-adresser som nevnt i tabellen nedenfor Dedikert IP-adresse for DNS-tjeneste for forekomst .
Region/DC | Dedikert IP-adresse for DNS-tjeneste for forekomst |
Eksempel på betinget videresending |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SYND |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping-alternativet er deaktivert for de ovennevnte IP-adressene for DNS-server av sikkerhetsmessige årsaker.
Før den betingede videresendingen er på plass, vil ikke enheter kunne registreres til den dedikerte forekomsten fra kundenes interne nettverk via peering-koblingene. Betinget videresending er ikke nødvendig for registrering via Mobile and Remote Access (MRA), da alle nødvendige eksterne DNS-oppføringer for å lette MRA vil bli forhåndsklargjort av Cisco.
Når du bruker Webex-programmet som anropende mykklient på dedikert forekomst, må en UC Manager-profil konfigureres i Control Hub for hver regions taletjenestedomene (VSD). Hvis du vil ha mer informasjon, se UC Manager-profiler i Cisco Webex Control Hub . Webex-programmet vil automatisk kunne løse kundens Expressway Edge uten innblanding fra sluttbruker .
Taletjenestedomene vil bli gitt til kunden som en del av partnertilgangsdokumentet når tjenesteaktiveringen er fullført.
Bruk en lokal ruter for telefonens DNS-oppløsning
For telefoner som ikke har tilgang til bedriftens DNS-servere, er det mulig å bruke en lokal Cisco-ruter til å videresende DNS-forespørsler til den dedikerte forekomsten av sky-DNS. Dette fjerner behovet for å distribuere en lokal DNS-server og gir full DNS-støtte inkludert hurtigbufring.
Eksempel på konfigurasjon :
!
ip dns-server
ip-navneserver
!
DNS-bruken i denne distribusjonsmodell er spesifikk for telefoner og kan bare brukes til å løse FQDN-er med domenet fra kundens dedikerte forekomst.
Referanser
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), sikkerhetsemne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
sikkerhetsveiledning for Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html