Nettverkskrav for dedikert forekomst
Webex Calling Dedicated Instance er en del av Cisco Cloud Calling-porteføljen, drevet av Cisco Unified Communications Manager (Cisco Unified CM)-samarbeidsteknologi. Dedicated Instance tilbyr tale-, video-, meldings- og mobilitetsløsninger med funksjonene og fordelene med Cisco IP-telefoner, mobile enheter og stasjonære klienter som kobles sikkert til den dedikerte forekomsten.
Denne artikkelen er beregnet på nettverksadministratorer, spesielt brannmur- og proxy-sikkerhetsadministratorer som vil bruke Dedikert forekomst i organisasjonen. Dette dokumentet fokuserer primært på nettverkskravene og sikkerheten for dedikert forekomstløsning, inkludert den lagdelte tilnærmingen til funksjonene og funksjonaliteten som gir sikker fysisk tilgang, et sikkert nettverk, sikre endepunkter og sikre Cisco UC-programmer.
Oversikt over sikkerhet: Sikkerhet i lag
Dedikert forekomst bruker en lagdelt tilnærming for sikkerhet. Lagene inkluderer:
Fysisk tilgang
Nettverk
Endepunkter
UC-programmer
Delene nedenfor beskriver sikkerhetslagene i distribusjoner av dedikerte forekomster .
Fysisk sikkerhet
Det er viktig å gi fysisk sikkerhet til Equinix Meet-Me Room-lokasjoner og Cisco Dedicated Instance Data Center-fasiliteter. Når fysisk sikkerhet er kompromittert, kan enkle angrep, for eksempel tjenesteavbrudd, ved å slå av strømmen til en kundes brytere, startes. Med fysisk tilgang kan angripere få tilgang til serverenheter, tilbakestille passord og få tilgang til svitsjer. Fysisk tilgang letter også mer sofistikerte angrep som mann-i-midten-angrep, og derfor er det andre sikkerhetslaget, nettverkssikkerheten, kritisk.
Selvkrypterende stasjoner brukes i dedikerte forekomstdatasentre som er vert for UC-programmer.
Hvis du vil ha mer informasjon om generelle sikkerhetsrutiner, kan du se dokumentasjonen på følgende plassering: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Nettverkssikkerhet
Partnere må sørge for at alle nettverkselementene er sikret i dedikert forekomstinfrastruktur (som kobles til via Equinix). Det er partnerens ansvar å sikre gode fremgangsmåter for sikkerhet, for eksempel:
Separat VLAN for tale og data
Aktiver portsikkerhet som begrenser antall MAC-adresser som er tillatt per port, mot oversvømmelse av CAM-tabell
IP-kildebeskyttelse mot falske IP-adresser
Dai (Dynamic ARP Inspection) undersøker adresseløsningsprotokoll (ARP) og umotivert ARP (GARP) for brudd (mot ARP-forfalskning)
802.1x begrenser nettverkstilgangen for å godkjenne enheter på tilordnede VLAN-er (telefoner støtter 802.1x)
Konfigurasjon av tjenestekvalitet (QoS) for riktig merking av talepakker
Brannmurporter konfigurasjoner for å blokkere annen trafikk
Sikkerhet for sluttpunkt
Cisco-endepunkter støtter standard sikkerhetsfunksjoner som signert fastvare, sikker oppstart (valgte modeller), produsentinstallerte sertifikatfiler (MIC) og signerte konfigurasjonsfiler, som gir et visst sikkerhetsnivå for endepunkter.
I tillegg kan en partner eller kunde aktivere ekstra sikkerhet, for eksempel:
Krypter IP-telefontjenester (via HTTPS) for tjenester som Extension Mobility
Utstede lokalt viktige sertifikater (LSCer) fra proxy-funksjonen (CAPF) for sertifiseringsinstansen eller en offentlig sertifiseringsinstans (CA)
Kryptere konfigurasjonsfiler
Krypter medier og signaler
Deaktiver disse innstillingene hvis de ikke brukes: PC-port, PC Voice VLAN Access, Umotivert ARP, Web-tilgang, Innstillinger-knapp, SSH, konsoll
Implementering av sikkerhetsmekanismer i dedikert forekomst forhindrer identitetstyveri av telefonene og Unified CM-serveren, datamanipulering og anropssignalering / media-stream-manipulering.
Dedikert forekomst over nettverket:
Etablerer og vedlikeholder godkjente kommunikasjonsstrømmer
Signerer filer digitalt før filen overføres til telefonen
Krypterer mediestrømmer og anropssignalering mellom Cisco Unified IP-telefoner
Sikkerhet gir som standard følgende automatiske sikkerhetsfunksjoner for Cisco Unified IP-telefoner:
Signering av telefonkonfigurasjonsfilene
Støtte for filkryptering for telefonkonfigurasjon
HTTPS med Tomcat og andre webtjenester (MIDlets)
For Unified CM Release 8.0 senere tilbys disse sikkerhetsfunksjonene som standard uten å kjøre sertifikatklareringslisteklienten (CTL).
Fordi det er et stort antall telefoner i et nettverk og IP-telefoner har begrenset minne, fungerer Cisco Unified CM som et eksternt klareringslager gjennom trust verification service (TVS) slik at et sertifikatklareringslager ikke trenger å plasseres på hver telefon. Cisco IP-telefoner kontakter TVS-serveren for bekreftelse fordi de ikke kan bekrefte en signatur eller et sertifikat gjennom CTL- eller ITL-filer. Det er enklere å administrere å ha et sentralt klareringslager enn å ha klareringslageret på hver Cisco Unified IP-telefon.
TVS gjør det mulig for Cisco Unified IP-telefoner å godkjenne applikasjonsservere, for eksempel EM-tjenester, katalog og MIDlet, under HTTPS-etablering.
ITL-filen (Initial Trust List) brukes for den første sikkerheten, slik at endepunktene kan stole på Cisco Unified CM. ITL trenger ingen sikkerhetsfunksjoner for å aktiveres eksplisitt. ITL-filen opprettes automatisk når klyngen installeres. TFTP-serverens private nøkkel (Unified CM Trivial File Transfer Protocol) brukes til å signere ITL-filen.
Når Cisco Unified CM-klyngen eller -serveren er i usikker modus, lastes ITL-filen ned på alle støttede Cisco IP-telefoner. En partner kan vise innholdet i en ITL-fil ved hjelp av CLI-kommandoen, admin:show itl.
Cisco IP-telefoner trenger ITL-filen for å utføre følgende oppgaver:
Kommunisere sikkert til CAPF, en forutsetning for å støtte kryptering av konfigurasjonsfiler
Godkjenne signatur for konfigurasjonsfil
Godkjenn programservere, for eksempel EM-tjenester, katalog og MIDlet under HTTPS-etablering ved hjelp av TVS
Enhets-, fil- og signalgodkjenning er avhengig av opprettelsen av CTL-filen (Certificate Trust List), som opprettes når partneren eller kunden installerer og konfigurerer Cisco Certificate Trust List Client.
CTL-filen inneholder oppføringer for følgende servere eller sikkerhetstokener:
Sikkerhetstoken for systemansvarlig (SAST)
Cisco CallManager- og Cisco TFTP-tjenester som kjører på samme server
Proxy-funksjon for sertifiseringsinstans (CAPF)
TFTP-server(r)
ASA-brannmur
CTL-filen inneholder et serversertifikat, fellesnøkkel, serienummer, signatur, utstedernavn, emnenavn, serverfunksjon, DNS-navn og IP-adresse for hver server.
Telefonsikkerhet med CTL gir følgende funksjoner:
Godkjenning av TFTP-nedlastede filer (konfigurasjon, nasjonal innstilling, ringeliste og så videre) ved hjelp av en signeringsnøkkel
Kryptering av TFTP-konfigurasjonsfiler ved hjelp av en signeringsnøkkel
Kryptert anropssignalering for IP-telefoner
Kryptert anropslyd (medium) for IP-telefoner
Dedikert forekomst gir endepunktregistrering og samtalebehandling. Signalasjonen mellom Cisco Unified CM og endepunktene er basert på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) og kan krypteres ved hjelp av Transport Layer Security (TLS). Mediet fra/til endepunktene er basert på RTP (Real-Time Transport Protocol) og kan også krypteres ved hjelp av Secure RTP (SRTP).
Aktivering av blandet modus på Enhetlig CM muliggjør kryptering av signal- og medietrafikken fra og til Cisco-endepunktene.
Sikre UC-programmer
Blandet modus er ikke aktivert som standard i dedikert forekomst.
Aktivering av blandet modus i dedikert forekomst gjør det mulig å utføre kryptering av signal- og medietrafikken fra og til Cisco-endepunktene.
I Cisco Unified CM release 12.5(1) ble et nytt alternativ for å aktivere kryptering av signalering og medier basert på SIP OAuth i stedet for blandet modus / CTL lagt til for Jabber- og Webex-klienter. I Unified CM release 12.5(1) kan derfor SIP OAuth og SRTP brukes til å aktivere kryptering for signalering og medier for Jabber- eller Webex-klienter. Aktivering av blandet modus er fortsatt nødvendig for Cisco IP-telefoner og andre Cisco-endepunkter for øyeblikket. Det finnes en plan for å legge til støtte for SIP OAuth i 7800/8800-endepunkter i en fremtidig versjon.
Cisco Unity Connection kobles til Enhetlig CM via TLS-porten. Når sikkerhetsmodusen for enheten er usikker, kobler Cisco Unity Connection til Unified CM via SCCP-porten.
Hvis du vil konfigurere sikkerhet for Unified CM-talemeldingsporter og Cisco Unity-enheter som kjører SCCP- eller Cisco Unity Connection-enheter som kjører SCCP, kan en partner velge en sikker enhetssikkerhetsmodus for porten. Hvis du velger en godkjent talepostport, åpnes en TLS-tilkobling som godkjenner enhetene ved hjelp av en gjensidig sertifikatutveksling (hver enhet godtar sertifikatet til den andre enheten). Hvis du velger en kryptert telefonsvarerport, godkjenner systemet først enhetene og sender deretter krypterte talestrømmer mellom enhetene.
Hvis du vil ha mer informasjon om Security Voice-meldingsporter, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Sikkerhet for SRST, Trunks, Gateways, CUBE/SBC
En Cisco Unified Survivable Remote Site Telephony (SRST)-aktivert gateway gir begrensede samtalebehandlingsoppgaver hvis Cisco Unified CM på dedikert forekomst ikke kan fullføre kallet.
Sikre SRST-aktiverte gatewayer inneholder et selvsignert sertifikat. Når en partner utfører SRST-konfigurasjonsoppgaver i Unified CM Administration, bruker Unified CM en TLS-tilkobling til å godkjenne med sertifikatleverandørtjenesten i den SRST-aktiverte gatewayen. Enhetlig CM henter deretter sertifikatet fra den SRST-aktiverte gatewayen og legger til sertifikatet i Unified CM-databasen.
Når partneren har tilbakestilt de avhengige enhetene i Unified CM Administration, legger TFTP-serveren til det SRST-aktiverte gatewaysertifikatet i cnf.xml-filen og sender filen til telefonen. En sikker telefon bruker deretter en TLS-tilkobling til å samhandle med den SRST-aktiverte gatewayen.
Det anbefales å ha sikre trunker for samtalen som stammer fra Cisco Unified CM til gatewayen for utgående PSTN-kall eller traversering gjennom Cisco Unified Border Element (CUBE).
SIP-trunker kan støtte sikre samtaler både for signalering og media; TLS gir signalkryptering, og SRTP gir mediekryptering.
Sikre kommunikasjon mellom Cisco Unified CM og CUBE
For sikker kommunikasjon mellom Cisco Unified CM og CUBE må partnere/kunder bruke enten selvsignerte eller CA-signerte sertifikater.
For selvsignerte sertifikater:
CUBE og Cisco Unified CM genererer selvsignerte sertifikater
CUBE eksporterer sertifikat til Cisco Unified CM
Cisco Unified CM eksporterer sertifikat til CUBE
For CA-signerte sertifikater:
Klienten genererer et nøkkelpar og sender en sertifikatsigneringsforespørsel (CSR) til sertifiseringsinstansen (CA)
Sertifiseringsinstansen signerer den med sin private nøkkel, og oppretter et identitetssertifikat
Klienten installerer listen over klarerte rot- og mellomliggende sertifikater og identitetssertifikatet
Sikkerhet for eksterne endepunkter
Med MRA-endepunkter (Mobile and Remote Access) krypteres signalene og mediene alltid mellom MRA-endepunktene og Expressway-nodene. Hvis ICE-protokollen (Interactive Connectivity Establishment) brukes for MRA-endepunkter, kreves signal- og mediekryptering av MRA-endepunktene. Kryptering av signalisering og medier mellom Expressway-C og de interne Unified CM-serverne, interne endepunkter eller andre interne enheter krever imidlertid blandet modus eller SIP OAuth.
Cisco Expressway gir sikker brannmurtraversering og støtte på linjesiden for Unified CM-registreringer. Enhetlig CM gir samtalekontroll for både mobile og lokale endepunkter. Signalisering krysser Motorveiløsningen mellom det eksterne endepunktet og Unified CM. Media krysser Expressway-løsningen og videresendes direkte mellom endepunktene. Alle medier krypteres mellom Expressway-C og det mobile endepunktet.
Enhver MRA-løsning krever Expressway og Unified CM, med MRA-kompatible myke klienter og/eller faste endepunkter. Løsningen kan eventuelt inkludere direktemeldings- og tilstedeværelsestjenesten og enhetstilkoblingen.
Sammendrag av protokoll
Tabellen nedenfor viser protokollene og de tilknyttede tjenestene som brukes i Unified CM-løsningen.
Protokoll |
Sikkerhet |
Tjeneste |
|---|---|---|
SIP |
TLS |
Etablering av økt: Registrer deg, inviter osv. |
HTTPS |
TLS |
Pålogging, Klargjøring/konfigurasjon, katalog, visuell telefonsvarer |
Media |
SRTP |
Media: Lyd, video, innholdsdeling |
XMPP |
TLS |
Direktemeldinger, tilstedeværelse, forbund |
Hvis du vil ha mer informasjon om MRA-konfigurasjon, kan du se: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Alternativer for konfigurasjon
Dedikert forekomst gir partner fleksibilitet til å tilpasse tjenester for sluttbrukere gjennom full kontroll over dag to-konfigurasjoner. Som et resultat er partneren eneansvarlig for riktig konfigurasjon av dedikert forekomsttjeneste for sluttbrukerens miljø. Dette inkluderer, men ikke begrenset til:
Velge sikre/usikre samtaler, sikre/usikre protokoller som SIP/sSIP, http/https osv.
For alle MAC-adresser som ikke er konfigurert som sikker SIP i dedikert forekomst, kan en angriper sende SIP-registermelding ved hjelp av denne MAC-adressen og kunne foreta SIP-kall, noe som resulterer i bompengesvindel. Forutsetningen er at angriperen kan registrere SIP-enheten/-programvaren til dedikert forekomst uten autorisasjon hvis de kjenner MAC-adressen til en enhet som er registrert i dedikert forekomst.
Retningslinjer for motorvei-E-anrop, transformerings- og søkeregler bør konfigureres for å forhindre bompengesvindel. Hvis du vil ha mer informasjon om hvordan du forhindrer bompengesvindel ved hjelp av motorveier, kan du se delen Sikkerhet for motorvei C og motorvei-E i Collaboration SRND.
Konfigurasjon av nummerplan for å sikre at brukere bare kan ringe destinasjoner som er tillatt, for eksempel forby nasjonal/ internasjonal oppringing, nødanrop rutes riktig osv. Hvis du vil ha mer informasjon om hvordan du bruker begrensninger ved hjelp av nummerplan, kan du se delen Nummerplan i SRND for samarbeid.
Sertifikatkrav for sikre tilkoblinger i dedikert forekomst
For dedikert forekomst vil Cisco oppgi domenet og signere alle sertifikatene for UC-applikasjonene ved hjelp av en offentlig sertifiseringsinstans.
Dedikert forekomst – portnumre og protokoller
Tabellene nedenfor beskriver portene og protokollene som støttes i dedikert forekomst. Porter som brukes for en gitt kunde, avhenger av kundens distribusjon og løsning. Protokoller avhenger av kundens preferanser (SCCP vs SIP), eksisterende lokale enheter og hvilket sikkerhetsnivå som bestemmer hvilke porter som skal brukes i hver distribusjon.
Dedikert forekomst – kundeporter
Portene som er tilgjengelige for kunder – mellom kundens lokale og dedikerte forekomst vises i tabell 1 dedikerte forekomstkundeporter. Alle portene som er oppført nedenfor, er for kundetrafikk som krysser nodekoblingene.
 |
SNMP-port støttes bare for CER-funksjonalitet og ikke for andre tredjeparts overvåkingsverktøy. |
 |
Porter i området 5063 til 5080 er reservert av Cisco for andre skyintegrasjoner, partner- eller kundeadministratorer anbefales ikke å bruke disse portene i konfigurasjonene. |
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
|---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UC-programmer |
Større enn 1023 |
22 |
Administrasjon |
LDAP |
TCP |
UC-programmer |
Ekstern mappe |
Større enn 1023 |
389 |
Katalogsynkronisering til kunde-LDAP |
HTTPS |
TCP |
Nettleser |
UC-programmer |
Større enn 1023 |
443 |
Webtilgang for selvpleie og administrative grensesnitt |
LDAP (SIKKER) |
TCP |
UC-programmer |
Ekstern mappe |
Større enn 1023 |
636 |
Katalogsynkronisering til kunde-LDAP |
SCCP |
TCP |
Endepunkt |
Samlet CM, CUCxn |
Større enn 1023 |
2000 |
Signalisering av anrop |
SCCP |
TCP |
Unified CM |
Enhetlig CM, Gateway |
Større enn 1023 |
2000 |
Signalisering av anrop |
SCCP (SIKKER) |
TCP |
Endepunkt |
Samlet CM, CUCxn |
Større enn 1023 |
2443 |
Signalisering av anrop |
SCCP (SIKKER) |
TCP |
Unified CM |
Enhetlig CM, Gateway |
Større enn 1023 |
2443 |
Signalisering av anrop |
Klarer bekreftelse |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2445 |
Tilby klareringsverifiseringstjeneste til endepunkter |
CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2748 |
Tilkobling mellom CTI-programmer (JTAPI/TSP) og CTIManager |
Sikker CTI |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
2749 |
Sikker tilkobling mellom CTI-programmer (JTAPI/TSP) og CTIManager |
Global LDAP-katalog |
TCP |
UC-programmer |
Ekstern mappe |
Større enn 1023 |
3268 |
Katalogsynkronisering til kunde-LDAP |
Global LDAP-katalog |
TCP |
UC-programmer |
Ekstern mappe |
Større enn 1023 |
3269 |
Katalogsynkronisering til kunde-LDAP |
CAPF-tjeneste |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
3804 |
Capf-lytteport (Certificate Authority Proxy Function) for utstedelse av lokalt viktige sertifikater (LSC) til IP-telefoner |
SIP |
TCP |
Endepunkt |
Samlet CM, CUCxn |
Større enn 1023 |
5060 |
Signalisering av anrop |
SIP |
TCP |
Unified CM |
Enhetlig CM, Gateway |
Større enn 1023 |
5060 |
Signalisering av anrop |
SIP (SIKKER) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5061 |
Signalisering av anrop |
SIP (SIKKER) |
TCP |
Unified CM |
Enhetlig CM, Gateway |
Større enn 1023 |
5061 |
Signalisering av anrop |
SIP (OAUTH) |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
5090 |
Signalisering av anrop |
XMPP |
TCP |
Jabber-klient |
Cisco direktemelding&p |
Større enn 1023 |
5222 |
Direktemeldinger og tilstedeværelse |
HTTP |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6970 |
Laste ned konfigurasjon og avbildninger til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6971 |
Laste ned konfigurasjon og avbildninger til endepunkter |
HTTPS |
TCP |
Endepunkt |
Unified CM |
Større enn 1023 |
6972 |
Laste ned konfigurasjon og avbildninger til endepunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7080 |
Varsler om talepost |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7443 |
Sikre talepostvarsler |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7501 |
Brukes av Intercluster Lookup Service (ILS) for sertifikatbasert godkjenning |
HTTPS |
TCP |
Unified CM |
Unified CM |
Større enn 1023 |
7502 |
Brukes av ILS til passordbasert godkjenning |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Større enn 1023 |
7993 |
IMAP over TLS |
HTTPS |
TCP |
Leser, sluttpunkt |
UC-programmer |
Større enn 1023 |
8443 |
Webtilgang for selvpleie og administrative grensesnitt, UDS |
HTTPS |
TCP |
Prem |
Unified CM |
Større enn 1023 |
9443 |
Godkjent kontaktsøk |
Sikker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 til 32767 * |
16384 til 32767 * |
Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (Åpen basert på anropssignalering) |
Sikker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 til 32767 * |
16384 til 32767 * |
Media (lyd) - Musikk på vent, Annunciator, Software Conference Bridge (Åpen basert på anropssignalering) |
ICMP |
ICMP |
Endepunkt |
UC-programmer |
n/a |
n/a |
Ping |
ICMP |
ICMP |
UC-programmer |
Endepunkt |
n/a |
n/a |
Ping |
* Visse spesielle tilfeller kan bruke et større utvalg. |
||||||
Dedikert forekomst – OTT-porter
Følgende liste over porter kan brukes av installasjonsprogrammet for Kunder og partnere for mobil og ekstern pålogging (MRA):
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
|---|---|---|---|---|---|---|
SIKKER SIP |
TCP |
Endepunkt |
Motorvei E |
Større enn 1023 |
5061 |
Sikker SIP-signalering For MRA-registrering og samtaler |
SIKKER SIP |
TCP |
Endepunkt/server |
Motorvei E |
Større enn 1023 |
5062 |
Sikker SIP for B2B-samtaler |
SIKKER RTP/RTCP |
UDP |
Endepunkt/server |
Motorvei E |
Større enn 1023 |
36000-59999 |
Sikre medier for MRA- og B2B-samtaler |
HTTPS (SIKKER) |
TLS |
Klient |
Motorvei E |
Større enn 1023 |
8443 |
CUCM UDS og CUCxn REST for MRA-samtaler |
XMLS |
TLS |
Klient |
Motorvei E |
Større enn 1023 |
5222 |
Direktemeldinger og tilstedeværelse |
OMDREINING |
UDP |
ICE-klient |
Motorvei E |
Større enn 1023 |
3478 |
ICE/STUN/TURN-forhandling |
SIKKER RTP/RTCP |
UPD |
ICE-klient |
Motorvei E |
Større enn 1023 |
24000-29999 |
TURN-medier for ICE-tilbakefall |
Dedikert forekomst – UCCX-porter
Følgende liste over porter kan brukes av kunder og partnere til å konfigurere UCCX.
Protokoll |
TCP/UCP |
Kilde |
Destinasjon |
Kildeport |
Målport |
Hensikt |
|---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Større enn 1023 |
22 |
SFTP og SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Større enn 1023 |
1504 |
Samlet CCX-databaseport |
SIP |
UDP og TCP |
SIP GW- eller MCRP-server |
UCCX |
Større enn 1023 |
5065 |
Kommunikasjon til eksterne GW- og MCRP-noder |
XMPP |
TCP |
Klient |
UCCX |
Større enn 1023 |
5223 |
Sikker XMPP-tilkobling mellom Finesse-serveren og egendefinerte tredjepartsprogrammer |
CVD |
TCP |
Klient |
UCCX |
Større enn 1023 |
6999 |
Redaktør for CCX-programmer |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
7443 |
Sikker BOSH-tilkobling mellom Finesse-serveren og agent- og veilederskrivebord for kommunikasjon over HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8080 |
Live-datarapporteringsklienter kobler til socket. I/U-server |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8081 |
Klientleser som prøver å få tilgang til Web-grensesnittet til Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
8443 |
Admin GUI, RTMT, DB-tilgang via SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8444 |
Cisco Unified Intelligence Center-webgrensesnitt |
HTTPS |
TCP |
Nettleser- og REST-klienter |
UCCX |
Større enn 1023 |
8445 |
Sikker port for Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8447 |
HTTPS - Elektronisk hjelp for Unified Intelligence Center |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
8553 |
SSO-komponenter (Single Sign-On) får tilgang til dette grensesnittet for å vite driftsstatusen til Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Større enn 1023 |
9080 |
Klienter som prøver å få tilgang til HTTP-utløsere eller dokumenter / spørsmål / grammatikk / live data. |
HTTPS |
TCP |
Klient |
UCCX |
Større enn 1023 |
9443 |
Sikker port som brukes til å svare klienter som prøver å få tilgang til HTTPS-utløsere |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12014 |
Dette er porten der klienter for direkte datarapportering kan koble til socket. I/U-server |
TCP |
TCP |
Klient |
UCCX |
Større enn 1023 |
12015 |
Dette er porten der klienter for direkte datarapportering kan koble til socket. I/U-server |
CTI |
TCP |
Klient |
UCCX |
Større enn 1023 |
12028 |
Tredjeparts CTI-klient til CCX |
RTP(medier) |
TCP |
Endepunkt |
UCCX |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
RTP(medier) |
TCP |
Klient |
Endepunkt |
Større enn 1023 |
Større enn 1023 |
Medieporten åpnes dynamisk etter behov |
Klientsikkerhet
Sikre Jabber og Webex med SIP OAuth
Jabber- og Webex-klienter godkjennes gjennom et OAuth-token i stedet for et lokalt viktig sertifikat (LSC), som ikke krever CAPF-aktivering (certificate authority proxy function) (for MRA). SIP OAuth som arbeider med eller uten blandet modus ble introdusert i Cisco Unified CM 12.5(1), Jabber 12.5 og Expressway X12.5.
I Cisco Unified CM 12.5 har vi et nytt alternativ i Telefonsikkerhetsprofil som muliggjør kryptering uten LSC/CAPF, ved hjelp av TLS + OAuth-token (Single Transport Layer Security) + OAuth-token i SIP REGISTER. Expressway-C-noder bruker AXL-APIen (Administrative XML Web Service) til å informere Cisco Unified CM om SN/SAN i sertifikatet. Cisco Unified CM bruker denne informasjonen til å validere Exp-C-kassen når en gjensidig TLS-tilkobling opprettes.
SIP OAuth aktiverer medie- og signalkryptering uten et endepunktsertifikat (LSC).
Cisco Jabber bruker Flyktige porter og sikre porter 6971- og 6972-porter via HTTPS-tilkobling til TFTP-serveren for å laste ned konfigurasjonsfilene. Port 6970 er en usikker port for nedlasting via HTTP.
Flere detaljer om SIP OAuth-konfigurasjon: SIP OAuth-modus.
DNS-krav
For dedikert forekomst gir Cisco FQDN for tjenesten i hver region følgende format <customer>.<region>. wxc-di.webex.com for eksempel xyz.amer.wxc-di.webex.com.
Kundeverdien leveres av administratoren som en del av veiviseren for første gangs installasjon (FTSW). Hvis du vil ha mer informasjon, kan du se Dedicated Instance Service Activation.
DNS-poster for dette FQDN må kunne løses fra kundens interne DNS-server for å støtte lokale enheter som kobler til den dedikerte forekomsten. For å lette løsningen må kunden konfigurere en betinget videresender, for dette FQDN, på DNS-serveren som peker til DNS-tjenesten Dedikert forekomst. DNS-tjenesten dedikert forekomst er regional og kan nås via peering til dedikert forekomst, ved hjelp av følgende IP-adresser som nevnt i tabellen Dedicated Instance DNS Service IP Address.
Område/domenekontroller |
IP-adresse for DNS-tjeneste for dedikert forekomst | Eksempel på betinget videresending |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
Asia og Stillehavsområdet, Japan og Kina |
<customer>.apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
SYND |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
ÅRSAVS |
178.215.128.228 |
|
|
Ping-alternativet er deaktivert av sikkerhetsgrunner for OVENNEVNTE IP-adresser for DNS-serveren. |
Før den betingede videresendingen er på plass, vil ikke enheter kunne registrere seg for den dedikerte forekomsten fra kundenes interne nettverk via nodekoblingene. Betinget videresending er ikke nødvendig for registrering via Mobile and Remote Access (MRA), da alle nødvendige eksterne DNS-poster for å lette MRA vil bli forhåndsklarert av Cisco.
Når du bruker Webex-programmet som din kallende myke klient på dedikert forekomst, må en UC Manager-profil konfigureres i Kontrollhub for hvert regions Voice Service Domain (VSD). Hvis du vil ha mer informasjon, kan du se UC Manager-profiler i Cisco Webex Control Hub. Webex-applikasjonen vil automatisk kunne løse kundens Expressway Edge uten noen sluttbrukerintervensjon.
|
Voice Service Domain vil bli gitt til kunden som en del av partnertilgangsdokumentet når tjenesteaktiveringen er fullført. |
Referanser
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), sikkerhetsemne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Sikkerhetsveiledning for Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html