Nettverkskrav for dedikert forekomst
Webex Calling Dedicated Instance er en del av Cisco Cloud Calling-porteføljen, drevet av Cisco Unified Communications Manager (Cisco Unified CM) samarbeidsteknologi. Dedikert forekomst tilbyr tale-, video-, meldings- og mobilitetsløsninger med funksjonene og fordelene til Cisco IP-telefoner, mobile enheter og stasjonære klienter som kobles sikkert til den dedikerte forekomsten.
Denne artikkelen er ment for nettverksadministratorer, spesielt brannmur- og proxy-sikkerhetsadministratorer som ønsker å bruke dedikert forekomst i sin organisasjon. Dette dokumentet fokuserer først og fremst på nettverkskravene og sikkerheten for Dedicated Instance-løsningen, inkludert den lagdelte tilnærmingen til funksjonene og funksjonaliteten som gir sikker fysisk tilgang, et sikkert nettverk, sikre endepunkter og sikre Cisco UC-applikasjoner.
Sikkerhetsoversikt: Sikkerhet i lag
Dedikert forekomst bruker en lagdelt tilnærming for sikkerhet. Lagene inkluderer:
Fysisk tilgang
Nettverk
Endepunkter
UC-applikasjoner
De følgende delene beskriver sikkerhetslagene i dedikerte forekomster-implementeringer.
Fysisk sikkerhet
Det er viktig å gi fysisk sikkerhet til Equinix Meet-Me Room-plasseringer og Ciscos dedikerte forekomst-datasenterfasiliteter. Når fysisk sikkerhet er kompromittert, kan enkle angrep som tjenesteavbrudd ved å slå av strømmen til en kundes brytere initieres. Med fysisk tilgang kan angripere få tilgang til serverenheter, tilbakestille passord og få tilgang til brytere. Fysisk tilgang legger også til rette for mer sofistikerte angrep som man-in-the-middle-angrep, og derfor er det andre sikkerhetslaget, nettverkssikkerheten, kritisk.
Selvkrypterende stasjoner brukes i dedikerte forekomster-datasentre som er vert for UC-applikasjoner.
For mer informasjon om generell sikkerhetspraksis, se dokumentasjonen på følgende sted: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Nettverksikkerhet
Partnere må sørge for at alle nettverkselementene er sikret i dedikert forekomst-infrastruktur (som kobles til via Equinix). Det er partnerens ansvar å sikre beste praksis for sikkerhet som:
Separat VLAN for tale og data
Aktiver Port Security som begrenser antall MAC-adresser som er tillatt per port, mot CAM-tabelloversvømmelse
IP-kildebeskyttelse mot falske IP-adresser
Dynamic ARP Inspection (DAI) undersøker adresseoppløsningsprotokoll (ARP) og gratis ARP (GARP) for brudd (mot ARP-spoofing)
802.1x begrenser nettverkstilgang til å autentisere enheter på tildelte VLAN (telefoner støtter 802.1x)
Konfigurasjon av tjenestekvalitet (QoS) for passende merking av talepakker
Brannmurportkonfigurasjoner for å blokkere all annen trafikk
Endpoints Security
Cisco-endepunkter støtter standard sikkerhetsfunksjoner som signert fastvare, sikker oppstart (valgte modeller), produsentinstallert sertifikat (MIC) og signerte konfigurasjonsfiler, som gir et visst sikkerhetsnivå for endepunkter.
I tillegg kan en partner eller kunde aktivere ekstra sikkerhet, for eksempel:
Krypter IP-telefontjenester (via HTTPS) for tjenester som Extension Mobility
Utstede lokalt signifikante sertifikater (LSC) fra sertifikatmyndighetens proxy-funksjon (CAPF) eller en offentlig sertifikatmyndighet (CA)
Krypter konfigurasjonsfiler
Krypter media og signalering
Deaktiver disse innstillingene hvis de ikke brukes: PC-port, PC Voice VLAN Access, Gratuitous ARP, Web Access, Settings-knapp, SSH, konsoll
Implementering av sikkerhetsmekanismer i den dedikerte forekomsten forhindrer identitetstyveri av telefonene og Unified CM-serveren, tukling av data og manipulering av samtalesignaler/mediestrømmer.
Dedikert forekomst over nettverket:
Etablerer og vedlikeholder autentiserte kommunikasjonsstrømmer
Signerer filer digitalt før filen overføres til telefonen
Krypterer mediestrømmer og samtalesignalering mellom Cisco Unified IP-telefoner
Sikkerhet som standard gir følgende automatiske sikkerhetsfunksjoner for Cisco Unified IP-telefoner:
Signering av telefonens konfigurasjonsfiler
Støtte for kryptering av telefonkonfigurasjonsfil
HTTPS med Tomcat og andre webtjenester (MIDlets)
For Unified CM Release 8.0 senere leveres disse sikkerhetsfunksjonene som standard uten å kjøre Certificate Trust List (CTL)-klienten.
Fordi det er et stort antall telefoner i et nettverk og IP-telefoner har begrenset minne, fungerer Cisco Unified CM som en ekstern tillitsbutikk gjennom Trust Verification Service (TVS), slik at det ikke må plasseres et sertifikattillitslager på hver telefon. Cisco IP-telefonene kontakter TVS-serveren for verifisering fordi de ikke kan bekrefte en signatur eller sertifikat gjennom CTL- eller ITL-filer. Å ha en sentral tillitsbutikk er enklere å administrere enn å ha tillitsbutikken på hver Cisco Unified IP-telefon.
TVS gjør det mulig for Cisco Unified IP-telefoner å autentisere applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet, under HTTPS-etablering.
ITL-filen (Initial Trust List) brukes for den innledende sikkerheten, slik at endepunktene kan stole på Cisco Unified CM. ITL trenger ingen sikkerhetsfunksjoner for å være aktivert eksplisitt. ITL-filen opprettes automatisk når klyngen er installert. Unified CM Trivial File Transfer Protocol (TFTP)-serverens private nøkkel brukes til å signere ITL-filen.
Når Cisco Unified CM-klyngen eller serveren er i ikke-sikker modus, lastes ITL-filen ned på alle støttede Cisco IP-telefoner. En partner kan se innholdet i en ITL-fil ved å bruke CLI-kommandoen, admin:show itl.
Cisco IP-telefoner trenger ITL-filen for å utføre følgende oppgaver:
Kommuniser sikkert til CAPF, en forutsetning for å støtte konfigurasjonsfilkryptering
Autentiser konfigurasjonsfilsignaturen
Autentiser applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet under HTTPS-etablering ved hjelp av TVS
Enhets-, fil- og signalautentisering er avhengig av opprettelsen av Certificate Trust List (CTL)-filen, som opprettes når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.
CTL-filen inneholder oppføringer for følgende servere eller sikkerhetstokener:
System Administrator Security Token (SAST)
Cisco CallManager og Cisco TFTP-tjenester som kjører på samme server
Certificate Authority Proxy Function (CAPF)
TFTP-server(e)
ASA brannmur
CTL-filen inneholder et serversertifikat, offentlig nøkkel, serienummer, signatur, utstedernavn, emnenavn, serverfunksjon, DNS-navn og IP-adresse for hver server.
Telefonsikkerhet med CTL gir følgende funksjoner:
Autentisering av TFTP-nedlastede filer (konfigurasjon, lokalitet, ringeliste og så videre) ved hjelp av en signeringsnøkkel
Kryptering av TFTP-konfigurasjonsfiler ved hjelp av en signeringsnøkkel
Kryptert samtalesignalering for IP-telefoner
Kryptert samtalelyd (media) for IP-telefoner
Dedikert forekomst gir endepunktregistrering og samtalebehandling. Signaleringen mellom Cisco Unified CM og endepunkter er basert på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) og kan krypteres ved hjelp av Transport Layer Security (TLS). Mediene fra/til endepunktene er basert på Real-time Transport Protocol (RTP) og kan også krypteres med Secure RTP (SRTP).
Aktivering av blandet modus på Unified CM muliggjør kryptering av signal- og medietrafikken fra og til Cisco-endepunktene.
Sikre UC-applikasjoner
Blandet modus er ikke aktivert som standard i Dedikert forekomst.
Aktivering av blandet modus i Dedikert forekomst gjør det mulig å utføre kryptering av signal- og medietrafikken fra og til Cisco-endepunktene.
I Cisco Unified CM-utgivelse 12.5(1) ble det lagt til et nytt alternativ for å aktivere kryptering av signalering og media basert på SIP OAuth i stedet for blandet modus/CTL for Jabber- og Webex-klienter. Derfor, i Unified CM-versjon 12.5(1), kan SIP OAuth og SRTP brukes til å aktivere kryptering for signalering og media for Jabber- eller Webex-klienter. Aktivering av blandet modus er fortsatt nødvendig for Cisco IP-telefoner og andre Cisco-endepunkter på dette tidspunktet. Det er en plan om å legge til støtte for SIP OAuth i 7800/8800 endepunkter i en fremtidig utgivelse.
Cisco Unity Connection kobles til Unified CM via TLS-porten. Når enhetens sikkerhetsmodus er usikret, kobles Cisco Unity Connection til Unified CM via SCCP-porten.
For å konfigurere sikkerhet for Unified CM-talemeldingsporter og Cisco Unity-enheter som kjører SCCP eller Cisco Unity Connection-enheter som kjører SCCP, kan en partner velge en sikker enhetssikkerhetsmodus for porten. Hvis du velger en autentisert talepostport, åpnes en TLS-tilkobling som autentiserer enhetene ved å bruke en gjensidig sertifikatutveksling (hver enhet godtar sertifikatet til den andre enheten). Hvis du velger en kryptert talepostport, autentiserer systemet først enhetene og sender deretter krypterte talestrømmer mellom enhetene.
For mer informasjon om Sikkerhet Talemeldingsporter, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhet for SRST, Trunks, Gateways, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST)-aktivert gateway gir begrensede samtalebehandlingsoppgaver hvis Cisco Unified CM på Dedicated Instance ikke kan fullføre samtalen.
Sikre SRST-aktiverte gatewayer inneholder et selvsignert sertifikat. Etter at en partner har utført SRST-konfigurasjonsoppgaver i Unified CM Administration, bruker Unified CM en TLS-tilkobling for å autentisere med Certificate Provider-tjenesten i den SRST-aktiverte gatewayen. Unified CM henter deretter sertifikatet fra den SRST-aktiverte gatewayen og legger sertifikatet til Unified CM-databasen.
Etter at partneren har tilbakestilt de avhengige enhetene i Unified CM Administration, legger TFTP-serveren til det SRST-aktiverte gateway-sertifikatet til telefonens cnf.xml-fil og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling for å samhandle med den SRST-aktiverte gatewayen.
Det anbefales å ha sikre trunklinjer for anropet som kommer fra Cisco Unified CM til gatewayen for utgående PSTN-anrop eller som går gjennom Cisco Unified Border Element (CUBE).
SIP-trunker kan støtte sikre samtaler både for signalering og media; TLS gir signalkryptering og SRTP gir mediekryptering.
Sikring av kommunikasjon mellom Cisco Unified CM og CUBE
For sikker kommunikasjon mellom Cisco Unified CM og CUBE, må partnere/kunder bruke enten selvsignerte sertifikater eller CA-signerte sertifikater.
For selvsignerte sertifikater:
CUBE og Cisco Unified CM genererer selvsignerte sertifikater
CUBE eksporterer sertifikatet til Cisco Unified CM
Cisco Unified CM eksporterer sertifikat til CUBE
For CA-signerte sertifikater:
Klienten genererer et nøkkelpar og sender en forespørsel om sertifikatsignering (CSR) til Certificate Authority (CA)
CA signerer den med sin private nøkkel, og lager et identitetssertifikat
Klienten installerer listen over pålitelige CA-rot- og mellomleddsertifikater og identitetssertifikatet
Sikkerhet for eksterne endepunkter
Med endepunkter for mobil og fjerntilgang (MRA), er signaleringen og media alltid kryptert mellom MRA-endepunktene og Expressway-nodene. Hvis ICE-protokollen (Interactive Connectivity Establishment) brukes for MRA-endepunkter, kreves signalering og mediekryptering av MRA-endepunktene. Imidlertid krever kryptering av signalering og media mellom Expressway-C og de interne Unified CM-serverne, interne endepunkter eller andre interne enheter blandet modus eller SIP OAuth.
Cisco Expressway gir sikker brannmurgjennomgang og linjesidestøtte for Unified CM-registreringer. Unified CM gir samtalekontroll for både mobile og lokale endepunkter. Signalering går gjennom Expressway-løsningen mellom det eksterne endepunktet og Unified CM. Media krysser Expressway-løsningen og sendes direkte mellom endepunkter. Alle medier er kryptert mellom Expressway-C og det mobile endepunktet.
Enhver MRA-løsning krever Expressway og Unified CM, med MRA-kompatible myke klienter og/eller faste endepunkter. Løsningen kan valgfritt inkludere IM og Presence Service og Unity Connection.
Protokollsammendrag
Tabellen nedenfor viser protokollene og tilknyttede tjenester som brukes i Unified CM-løsningen.
Protokoll |
Sikkerhet |
Tjeneste |
---|---|---|
SIP |
TLS |
Sesjonsetablering: Registrer deg, inviter osv. |
HTTPS |
TLS |
Pålogging, klargjøring/konfigurasjon, katalog, visuell talepost |
Media |
SRTP |
Media: Lyd, video, innholdsdeling |
XMPP |
TLS |
Direktemeldinger, tilstedeværelse, forbund |
For mer informasjon om MRA-konfigurasjon, se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurasjonsalternativer
Den dedikerte forekomsten gir partneren fleksibilitet til å tilpasse tjenester for sluttbrukere gjennom full kontroll over dag to-konfigurasjoner. Som et resultat er partneren eneansvarlig for riktig konfigurasjon av dedikert forekomst-tjeneste for sluttbrukerens miljø. Dette inkluderer, men ikke begrenset til:
Velge sikre/usikre anrop, sikre/usikre protokoller som SIP/sSIP, http/https etc og forstå eventuelle tilknyttede risikoer.
For alle MAC-adresser som ikke er konfigurert som sikker SIP i Dedikert forekomst, kan en angriper sende SIP-registermelding ved å bruke den MAC-adressen og kunne foreta SIP-anrop, noe som resulterer i avgiftssvindel. Forutsetningen er at angriperen kan registrere sin SIP-enhet/programvare til Dedikert forekomst uten autorisasjon hvis de kjenner MAC-adressen til en enhet registrert i Dedikert forekomst.
Expressway-E-anropspolicyer, transformasjon og søkeregler bør konfigureres for å forhindre bompengesvindel. For mer informasjon om forhindring av bompengesvindel ved bruk av Expressways, se delen Sikkerhet for Expressway C og Expressway-E i Collaboration SRND.
Oppringingsplankonfigurasjon for å sikre at brukere bare kan ringe destinasjoner som er tillatt, f.eks. forby nasjonale/internasjonale oppringing, nødanrop rutes riktig osv. For mer informasjon om bruk av begrensninger ved bruk av oppringingsabonnement, se delen Ringplan i Samarbeid SRND.
Sertifikatkrav for sikre tilkoblinger i dedikert forekomst
For dedikerte forekomster vil Cisco gi domenet og signere alle sertifikatene for UC-applikasjonene ved hjelp av en offentlig sertifiseringsinstans (CA).
Dedikert forekomst – portnumre og protokoller
Følgende tabeller beskriver portene og protokollene som støttes i dedikert forekomst. Porter som brukes for en gitt kunde avhenger av kundens distribusjon og løsning. Protokoller avhenger av kundens preferanser (SCCP vs SIP), eksisterende lokale enheter og hvilket sikkerhetsnivå som skal bestemme hvilke porter som skal brukes i hver distribusjon.
Dedikert instans – kundeporter
Portene som er tilgjengelige for kunder - mellom kundens premiss og dedikert forekomst er vist i tabell 1 Dedikerte forekomstkundeporter. Alle portene som er oppført nedenfor er for kundetrafikk som krysser peering-lenkene.
SNMP-port støttes kun for CER-funksjonalitet og ikke for andre tredjeparts overvåkingsverktøy. |
Porter i området 5063 til 5080 er reservert av Cisco for andre skyintegrasjoner, partner- eller kundeadministratorer anbefales ikke å bruke disse portene i konfigurasjonene sine. |
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UC-applikasjoner |
Større enn 1023 |
22 |
Administrasjon |
LDAP |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
389 |
Katalogsynkronisering til kunde-LDAP |
HTTPS |
TCP |
Nettleser |
UC-applikasjoner |
Større enn 1023 |
443 |
Netttilgang for egenomsorg og administrative grensesnitt |
LDAP (SIKKER) |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
636 |
Katalogsynkronisering til kunde-LDAP |
SCCP |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
2000 |
Samtalesignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
2000 |
Samtalesignalering |
SCCP (SIKKERT) |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
2443 |
Samtalesignalering |
SCCP (SIKKERT) |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
2443 |
Samtalesignalering |
Trust Verification |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2445 |
Tilbyr tillitsverifiseringstjeneste til endepunkter |
CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2748 |
Kobling mellom CTI-applikasjoner (JTAPI/TSP) og CTIManager |
Sikker CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2749 |
Sikker forbindelse mellom CTI-applikasjoner (JTAPI/TSP) og CTIManager |
LDAP global katalog |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
3268 |
Katalogsynkronisering til kunde-LDAP |
LDAP global katalog |
TCP |
UC-applikasjoner |
Ekstern katalog |
Større enn 1023 |
3269 |
Katalogsynkronisering til kunde-LDAP |
CAPF-tjeneste |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
3804 |
Certificate Authority Proxy Function (CAPF) lytteport for utstedelse av Locally Significant Certificates (LSC) til IP-telefoner |
SIP |
TCP |
Endepunkt |
Unified CM, CUCxn |
Større enn 1023 |
5060 |
Samtalesignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
5060 |
Samtalesignalering |
SIP (SIKKER) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5061 |
Samtalesignalering |
SIP (SIKKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Større enn 1023 |
5061 |
Samtalesignalering |
SIP (OAUTH) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5090 |
Samtalesignalering |
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Større enn 1023 |
5222 |
Direktemeldinger og tilstedeværelse |
HTTP |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6970 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6971 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6972 |
Laster ned konfigurasjon og bilder til endepunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7080 |
Talepostvarsler |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7443 |
Sikre talepostvarsler |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7501 |
Brukes av Intercluster Lookup Service (ILS) for sertifikatbasert autentisering |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7502 |
Brukes av ILS for passordbasert autentisering |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7993 |
IMAP over TLS |
HTTPS |
TCP |
Nettleser, endepunkt |
UC-applikasjoner |
Større enn 1023 |
8443 |
Nettilgang for egenomsorg og administrative grensesnitt, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
Større enn 1023 |
9443 |
Autentisert kontaktsøk |
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (åpen basert på samtalesignalering) |
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (åpen basert på samtalesignalering) |
ICMP |
ICMP |
Endepunkt |
UC-applikasjoner |
n/a |
n/a |
Ping |
ICMP |
ICMP |
UC-applikasjoner |
Endepunkt |
n/a |
n/a |
Ping |
* Enkelte spesielle tilfeller kan bruke et større område. |
Dedikert forekomst – OTT-porter
Følgende liste over porter kan brukes av kunder og partnere for oppsett av mobil og fjerntilgang (MRA):
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
---|---|---|---|---|---|---|
SIKKER SIP |
TCP |
Endepunkt |
Ekspressvei E |
Større enn 1023 |
5061 |
Sikker SIP-signalering For MRA-registrering og samtaler |
SIKKER SIP |
TCP |
Endepunkt/server |
Ekspressvei E |
Større enn 1023 |
5062 |
Sikker SIP for B2B-samtaler |
SIKKER RTP/RTCP |
UDP |
Endepunkt/server |
Ekspressvei E |
Større enn 1023 |
36000-59999 |
Secure Media for MRA- og B2B-samtaler |
HTTPS (SIKKERT) |
TLS |
Klient |
Ekspressvei E |
Større enn 1023 |
8443 |
CUCM UDS og CUCxn REST for MRA-anrop |
XMLS |
TLS |
Klient |
Ekspressvei E |
Større enn 1023 |
5222 |
IM og tilstedeværelse |
SVING |
UDP |
ICE-klient |
Ekspressvei E |
Større enn 1023 |
3478 |
ICE/STUN/TURN-forhandling |
SIKKER RTP/RTCP |
UPD |
ICE-klient |
Ekspressvei E |
Større enn 1023 |
24000-29999 |
TURN media for ICE fallback |
Dedikert forekomst – UCCX-porter
Følgende liste over porter kan brukes av kunder og partnere for å konfigurere UCCX.
Protokoll |
TCP / UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Større enn 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
klient eller server |
UCCX |
Større enn 1023 |
1504 |
Unified CCX databaseport |
SIP |
UDP og TCP |
SIP GW eller MCRP server |
UCCX |
Større enn 1023 |
5065 |
Kommunikasjon til eksterne GW- og MCRP-noder |
XMPP |
TCP |
Klient |
UCCX |
Større enn 1023 |
5223 |
Sikker XMPP-forbindelse mellom Finesse-serveren og tilpassede tredjepartsapplikasjoner |
CVD |
TCP |
Klient |
UCCX |
Større enn 1023 |
6999 |
Redaktør til CCX-applikasjoner |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
7443 |
Sikker BOSH-forbindelse mellom Finesse-serveren og agent- og supervisor-skrivebord for kommunikasjon over HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8080 |
Live-data rapporteringsklienter kobler til socket.IO-server |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8081 |
Klientleser prøver å få tilgang til Cisco Unified Intelligence Center-nettgrensesnittet |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8443 |
Admin GUI, RTMT, DB tilgang via SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8444 |
Cisco Unified Intelligence Center nettgrensesnitt |
HTTPS |
TCP |
Nettleser- og REST-klienter |
UCCX |
Større enn 1023 |
8445 |
Sikker port for Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8447 |
HTTPS - Unified Intelligence Center online hjelp |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8553 |
Single Sign-On (SSO)-komponenter får tilgang til dette grensesnittet for å vite driftsstatusen til Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
9080 |
Klienter som prøver å få tilgang til HTTP-utløsere eller dokumenter / meldinger / grammatikk / live data. |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
9443 |
Sikker port som brukes til å svare på klienter som prøver å få tilgang til HTTPS-utløsere |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12014 |
Dette er porten hvor live-datarapporteringsklienter kan koble til socket.IO-serveren |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12015 |
Dette er porten hvor live-datarapporteringsklienter kan koble til socket.IO-serveren |
CTI |
TCP |
Klient |
UCCX |
Større enn 1023 |
12028 |
Tredjeparts CTI-klient til CCX |
RTP (Media) |
TCP |
Endepunkt |
UCCX |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
RTP (Media) |
TCP |
Klient |
Endepunkt |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
Klientsikkerhet
Sikring av Jabber og Webex med SIP OAuth
Jabber- og Webex-klienter autentiseres gjennom et OAuth-token i stedet for et lokalt signifikant sertifikat (LSC), som ikke krever aktivering av Certificate Authority proxy-funksjon (CAPF) (også for MRA). SIP OAuth som arbeider med eller uten blandet modus ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi et nytt alternativ i Phone Security Profile som muliggjør kryptering uten LSC/CAPF, ved å bruke enkelt Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker Administrative XML Web Service (AXL) API for å informere Cisco Unified CM om SN/SAN i sertifikatet deres. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-sertifikatet ved etablering av en gjensidig TLS-tilkobling.
SIP OAuth muliggjør medie- og signalkryptering uten et endepunktsertifikat (LSC).
Cisco Jabber bruker Ephemeral-porter og sikre porter 6971 og 6972 via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en ikke-sikker port for nedlasting via HTTP.
Flere detaljer om SIP OAuth-konfigurasjon: SIP OAuth-modus.
DNS-krav
For dedikert forekomst leverer Cisco FQDN for tjenesten i hver region med følgende format <customer>.<region>.wxc-di.webex.com, for eksempel, xyz.amer.wxc- di.webex.com.
'Kunde'-verdien oppgis av administratoren som en del av førstegangsoppsettveiviseren (FTSW). For mer informasjon, se Dedikert forekomsttjenesteaktivering.
DNS-poster for denne FQDN må kunne løses fra kundens interne DNS-server for å støtte lokale enheter som kobles til den dedikerte forekomsten. For å lette oppløsningen, må kunden konfigurere en betinget videresending, for denne FQDN, på DNS-serveren som peker til DNS-tjenesten for dedikert forekomst. DNS-tjenesten for dedikert forekomst er regional og kan nås via peering til dedikert forekomst ved å bruke følgende IP-adresser som nevnt i tabellen nedenfor IP-adresse for dedikert forekomst DNS-tjeneste.
Region/DC |
Dedikert forekomst DNS-tjeneste IP-adresse | Eksempel på betinget videresending |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
Asia og Stillehavsområdet, Japan og Kina |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
SYND |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ping-alternativet er deaktivert for de ovennevnte DNS-serverens IP-adresser av sikkerhetsgrunner. |
Inntil den betingede videresendingen er på plass, vil ikke enheter kunne registrere seg til den dedikerte forekomsten fra kundens interne nettverk via peering-lenkene. Betinget videresending er ikke nødvendig for registrering via Mobile and Remote Access (MRA), siden alle nødvendige eksterne DNS-poster for å forenkle MRA vil bli forhåndsprovisionert av Cisco.
Når du bruker Webex-applikasjonen som din anropende myke klient på dedikert forekomst, må en UC Manager-profil konfigureres i Control Hub for hver regions Voice Service Domain (VSD). For mer informasjon, se UC Manager-profiler i Cisco Webex Control Hub. Webex-applikasjonen vil automatisk kunne løse kundens Expressway Edge uten innblanding fra sluttbruker.
Voice Service Domain vil bli gitt til kunden som en del av partnertilgangsdokumentet når tjenesteaktiveringen er fullført. |
Referanser
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), sikkerhetsemne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sikkerhetsveiledning for Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html