- Strona główna
- /
- Artykuł
Wymagania dotyczące bezpieczeństwa w usłudze Webex Calling
Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zapór i serwerów proxy, którzy chcą korzystać z usługi Webex Calling w swojej organizacji.
Informacje o portach dotyczące wymagań w zakresie zapory i dostępu — patrz Informacje o portach dla usługi Cisco Webex Calling.
Wymagania dotyczące punktów końcowych
Webex Calling Edge
Aby wykonać rejestrację lub połączenie SIP, postępuj zgodnie z poniższymi instrukcjami:
-
Wykryj adres hosta punktu końcowego SIP dla aktywnych węzłów brzegowych.
-
Zapewnij spełnienie wszystkich warunków wstępnych dotyczących konfiguracji użytkownika i urządzenia.
-
Upewnij się, że punkt końcowy ma łączność z siecią publiczną, aby rozpocząć wykrywanie usług.
-
Zapewnij spełnienie warunków wstępnych ładowania punktu końcowego przy użyciu konfiguracji inicjowania obsługi specyficznej dla regionu lub dla centrum danych. Ta konfiguracja pomaga uzyskać odpowiedni sufiks nazwy domeny na potrzeby wykrywania usług.
Protokoły IPv4 i IPv6
Urządzenia mogą działać w trybie pojedynczej wersji lub podwójnego stosu. To konfiguracja określa zmiany w preferowanym protokole i zmiany te nie są częścią wykrywania usług.
-
Tryb pojedynczego stosu — powoduje włączenie tylko jednego protokołu IP (na przykład IPv4) i ignorowanie adresów pozostałych protokołów.
-
Tryb podwójnego stosu — powoduje wybranie preferowanej wersji protokołu IP za pośrednictwem konfiguracji.
Klient traktuje priorytety wszystkich adresów preferowanych jako mające niższą wartość (czyli będące preferowanymi) niż wszystkie adresy protokołu IP. Jeśli preferowany jest protokół IPv4, przed próbą uzyskania adresu IPv6 wypróbowywane są wszystkie adresy IPv4. Jeśli wszystkie próby pozyskania adresów zakończą się niepowodzeniem, cykl rozpocznie się od nowa z adresem preferowanego protokołu mającym najniższy priorytet.
Klient mobilny rejestrujący się po otrzymaniu powiadomienia wypychanego może zdecydować o optymalizacji trybu na podstawie poprzednich rejestracji.
Rozpoznawanie adresu hosta na podstawie adresu SRV DNS
W pliku konfiguracyjnym punktu końcowego uzyskanym podczas inicjowania obsługi wskaźnik domeny określa nazwę domeny na potrzeby wykrywania usługi brzegowej dostępu. Przykładowa nazwa domeny to:
wxc.edge.bcld.webex.com
W tym przykładzie punkt końcowy wykonujący wyszukiwanie SRV DNS dla tej domeny może zwrócić odpowiedź podobną do następującej:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
W takim przypadku rekord SRV wskazuje na 3 rekordy A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
W tym przykładzie wszystkie hosty mają rozgłaszaną informację, aby łączyć się z portem 5061 z użyciem różnych wag i priorytetów.
Należy wziąć pod uwagę następujące wymagania dotyczące punktów końcowych.
-
Punkt końcowy musi używać
_sips._tcp
(kombinacja usługi i protokołu) jako prefiksu, aby przeprowadzić wyszukiwanie SRV DNS w celu uzyskania adresu hosta do zainicjowania komunikacji opartej na protokole TLS. -
Punkt końcowy musi przeprowadzić wyszukiwanie SRV DNS w celu spełnienia warunków przedstawionych w części Rozpoznawanie adresu hosta na podstawie adresu SRV DNS.
-
Punkt końcowy musi uwzględniać hosty, porty, wagi i priorytety zgodnie z informacjami rozgłaszanymi dla poszczególnych adresów hostów. Ponadto musi on tworzyć koligację między hostem a portem podczas tworzenia połączenia gniazda w trakcie rejestracji SIP.
-
Specyficzne dla korzystania z rekordu SRV DNS kryteria wyboru hostów na podstawie priorytetu i wagi opisano w dokumencie RFC 2782.
Wymagania dotyczące protokołu SIP i multimediów
Wymaganie |
Opis |
---|---|
Certyfikat zaufania wymagany do szyfrowania klucza publicznego |
Informacje o urzędzie podpisującym certyfikaty Webex i głównym urzędzie certyfikacji (CA) wymaganych na urządzeniach przedstawiono w tym artykule. |
Obsługiwana wersja protokołu TLS na potrzeby bezpiecznego połączenia SIP |
TLS 1.2 |
Szyfry TLS obsługiwane na potrzeby bezpiecznego połączenia SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Obsługiwane klucze SRTP na potrzeby bezpiecznych multimediów |
AES_CM_128_HMAC_SHA1_80 |
Wymagania dotyczące bezpiecznego połączenia SIP z protokołem mTLS („mutual TLS”, protokół wzajemnych połączeń TLS)
Te wymagania szczegółowo opisano w tym miejscu.
Na potrzeby pomyślnej autoryzacji i uwierzytelniania połączeń z łącza magistralowego wymagany jest podpisany certyfikat. Certyfikat ten musi spełniać następujące wymagania:
-
Certyfikat musi być podpisany przez urząd certyfikacji wymieniony w części Jakie główne urzędy certyfikacji są obsługiwane w przypadku połączeń z platformami audio i wideo Cisco Webex?
-
Prześlij pakiet zaufania wymieniony w części Jakie główne urzędy certyfikacji są obsługiwane w przypadku połączeń z platformami audio i wideo Cisco Webex? do CUBE.
-
Certyfikat powinien być ważny zawsze:
-
Podpisane certyfikaty muszą zawsze mieć prawidłową datę wygaśnięcia.
-
Certyfikaty główne lub pośrednie muszą mieć prawidłową datę wygaśnięcia i nie mogą być unieważnione.
-
Certyfikaty muszą być podpisane na potrzeby wykorzystywania przez klienta i przez serwer.
-
Certyfikaty muszą zawierać w pełni kwalifikowaną nazwę domeny (FQDN) jako nazwę powszechną lub jako nazwę alternatywną podmiotu w certyfikacie z nazwą FQDN wybraną w Control Hub. Na przykład:
-
Łącze magistralowe skonfigurowane z poziomu Control Hub Twojej organizacji z nazwą FQDN london.lgw.cisco.com:5061 musi zawierać ciąg london.lgw.cisco.com w nazwie CN lub SAN certyfikatu.
-
Łącze magistralowe skonfigurowane z poziomu Control Hub Twojej organizacji z adresem SRV london.lgw.cisco.com musi zawierać ciąg london.lgw.cisco.com w nazwie CN lub SAN certyfikatu. Rekordy, na które wskazuje rozpoznany adres SRV (CNAME/rekord A/adres IP), są opcjonalne w sieci SAN.
-
-
Certyfikaty można udostępniać więcej niż jednej bramie lokalnej, należy jednak upewnić się, że spełnione są wymagania dotyczące nazwy FQDN.
-
Poza zakresem
Ten artykuł nie zawiera następujących informacji związanych z zabezpieczeniami sieci:
-
Wymagania firmy F5 dotyczące urzędu certyfikacji i szyfrów
-
Interfejs API oparty na protokole HTTP do pobierania reguł zapory na potrzeby usług Webex.
-
Interfejs API do obsługi pakietów zaufania
-
Wymagania dotyczące zapory i wyłączanie bramy ALG