Ten dokument koncentruje się głównie na wymaganiach dotyczących sieci i zabezpieczeń dla rozwiązania Dedicated Instance, w tym warstwowego podejścia do funkcji i funkcji zapewniających bezpieczny dostęp fizyczny, bezpieczną sieć, bezpieczne punkty końcowe i bezpieczne aplikacje Cisco UC .
Wymagania sieciowe dla wystąpienia dedykowanego
Webex Calling Dedicated Instance jest częścią oferty Cisco Cloud Calling, opartej na technologii współpracy Cisco Unified Communications Manager (Cisco Unified CM). Wystąpienie dedykowane oferuje rozwiązania głosowe, wideo, komunikacyjne i mobilne z funkcjami i zaletami telefonów IP Cisco , urządzeń przenośnych i klientów stacjonarnych, które bezpiecznie łączą się z wystąpieniem dedykowanym.
Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zapory i zabezpieczeń serwera proxy, którzy chcą korzystać z wystąpienia dedykowanego w swojej organizacji.
Omówienie zabezpieczeń: Zabezpieczenia w warstwach
Dedykowane wystąpienie stosuje warstwowe podejście do bezpieczeństwa. Warstwy obejmują:
Dostęp fizyczny
Sieć
Punkty końcowe
Aplikacje UC
W poniższych sekcjach opisano warstwy zabezpieczeń w Dedykowane wystąpienie wdrożenia.
Zabezpieczenia fizyczne
Ważne jest, aby zapewnić fizyczne bezpieczeństwo lokalizacji Equinix Meet-Me Room i Cisco Dedykowane wystąpienie Obiekty centrum danych. Gdy bezpieczeństwo fizyczne zostanie naruszone, można zainicjować proste ataki, takie jak przerwanie usług przez wyłączenie zasilania przełączników klienta. Dzięki dostępowi fizycznemu osoby atakujące mogą uzyskać dostęp do urządzeń serwerowych, zresetować hasła i uzyskać dostęp do przełączników. Fizyczny dostęp ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa zabezpieczeń, bezpieczeństwo sieci, ma kluczowe znaczenie.
Dyski samoszyfrujące są używane w Dedykowane wystąpienie Centra danych obsługujące aplikacje UC.
Aby uzyskać więcej informacji na temat ogólnych zasad bezpieczeństwa, zapoznaj się z dokumentacją w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Bezpieczeństwo sieci
Partnerzy muszą upewnić się, że wszystkie elementy sieci są zabezpieczone w Dedykowane wystąpienie infrastruktury (która łączy się przez Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:
Oddzielna VLAN do przesyłania głosu i danych
Włącz zabezpieczenia portów, które ograniczają liczbę dozwolonych adresów MAC na port, aby zapobiec zalewaniu tabel CAM
Ochrona źródła IP przed fałszywymi adresami IP
Dynamic ARP Inspection (DAI) sprawdza protokół rozpoznawania adresów (ARP) i nieuzasadniony protokół ARP (GARP) pod kątem naruszeń (przeciwko fałszowaniu ARP)
802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują 802.1x )
Konfiguracja jakości usługi (QoS) w celu odpowiedniego oznaczania pakietów głosowych
Konfiguracje portów zapory do blokowania wszelkiego innego ruchu
Zabezpieczenia punktów końcowych
Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie sprzętowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.
Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:
Szyfrowanie usług telefonicznych IP (przez HTTPS) dla usług, takich jak Extension Mobility
Wydaj certyfikaty o znaczeniu lokalnym (LSC) za pomocą funkcji serwera proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)
Zaszyfruj pliki konfiguracyjne
Zaszyfruj multimedia i sygnalizację
Wyłącz te ustawienia, jeśli nie są używane: Port PC, dostęp do VLAN PC Voice, Gratuitous ARP, dostęp do sieci Web, przycisk Ustawienia, SSH, konsola
Wdrożenie mechanizmów bezpieczeństwa w Dedykowane wystąpienie zapobiega kradzieży tożsamości telefonów i serwera Unified CM , manipulowaniu danymi oraz manipulowaniem sygnalizacją połączenia/strumieniem multimediów.
Dedykowane wystąpienie przez sieć:
Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji
Podpisuje cyfrowo pliki przed przesłaniem ich do telefonu
Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified
Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:
Podpisywanie plików konfiguracyjnych telefonu
Obsługa szyfrowania plików konfiguracyjnych telefonu
HTTPS z Tomcat i innymi usługami internetowymi (MIDlety)
W przypadku wersji Unified CM w wersji 8.0 te funkcje zabezpieczeń są domyślnie udostępniane bez uruchamiania klienta listy zaufanych certyfikatów (CTL).
Ponieważ w sieci jest duża liczba telefonów, a telefony IP mają ograniczoną pamięć, program Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi Trust Verification Service (TVS), dzięki czemu nie trzeba umieszczać magazynu zaufania certyfikatów na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu ani certyfikatu za pomocą plików CTL lub ITL. Zarządzanie centralnym magazynem zaufania jest łatwiejsze niż posiadanie go w każdym telefonie IP Cisco Unified.
TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM , katalog i MIDlet, podczas ustanawiania protokołu HTTPS.
Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest tworzony automatycznie podczas instalowania klastra. Klucz prywatny serwera Unified CM Trivial File Transfer Protocol (TFTP) jest używany do podpisywania pliku ITL.
Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP Cisco . Partner może wyświetlać zawartość pliku ITL za pomocą polecenia interfejsu wiersza polecenia admin:show itl.
Telefony IP Cisco potrzebują pliku ITL do wykonywania następujących zadań:
Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania pliku konfiguracyjnego
Uwierzytelnij podpis pliku konfiguracyjnego
Uwierzytelnianie serwerów aplikacji, takich jak usługi EM , katalogi i MIDlet podczas ustanawiania protokołu HTTPS za pomocą TVS
Uwierzytelnianie urządzenia, pliku i sygnalizacji polega na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony podczas instalowania i konfigurowania klienta listy zaufania certyfikatów Cisco przez partnera lub klienta.
Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:
Token bezpieczeństwa administratora systemu (SAST)
Usługi Cisco CallManager i Cisco TFTP , które działają na tym samym serwerze
Funkcja serwera proxy Certificate Authority (CAPF)
Serwery TFTP
Zapora sieciowa ASA
Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.
Zabezpieczenia telefonu za pomocą CTL zapewniają następujące funkcje:
Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista dzwonków itd.) za pomocą klucza podpisywania
Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza podpisywania
Sygnalizacja połączenia szyfrowanego dla telefonów IP
Dźwięk (media) szyfrowanego połączenia dla telefonów IP
Dedykowane wystąpienie zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole SCCP(Secure Skinny Client Control Protocol) lub Session Initiation Protocol (SIP) i może być szyfrowana przy użyciu protokołu Transport Layer Security (TLS). Media z/do punktów końcowych są oparte na protokole transportu w czasie rzeczywistym (RTP ) i mogą być również szyfrowane przy użyciu protokołu SRTP (Secure RTP ).
Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z i do punktów końcowych Cisco .
Bezpieczne aplikacje UC
Tryb mieszany jest domyślnie włączony w Dedykowane wystąpienie .
Włączanie trybu mieszanego w Dedykowane wystąpienie umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z i do punktów końcowych Cisco .
W wersji 12.5(1) programu Cisco Unified CM dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o protokół SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex . Dlatego w wersji Unified CM 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i mediów dla klientów Jabber lub Webex . Włączenie trybu mieszanego jest obecnie wymagane dla telefonów IP Cisco i innych punktów końcowych Cisco . W przyszłej wersji planowane jest dodanie obsługi protokołu SIP OAuth w punktach końcowych 7800/8800.
Cisco Unity Connection łączy się z systemem Unified CM przez port TLS . Gdy tryb zabezpieczeń urządzenia jest niezabezpieczony, program Cisco Unity Connection łączy się z systemem Unified CM przez port SCCP .
Aby skonfigurować zabezpieczenia portów komunikacji głosowej Unified CM i urządzeń Cisco Unity z systemem SCCP lub urządzeń Cisco Unity Connection z systemem SCCP, partner może wybrać dla portu bezpieczny tryb zabezpieczeń urządzenia. Jeśli wybierzesz uwierzytelniony port poczty głosowej, zostanie otwarte połączenie TLS , które uwierzytelnia urządzenia przy użyciu wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz szyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wyśle zaszyfrowane strumienie głosowe między urządzeniami.
Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Zabezpieczenia SRST, magistral, bram, CUBE/SBC
Brama Cisco Unified Survivable Remote Site Telephony (SRST) zapewnia ograniczoną liczbę zadań związanych z przetwarzaniem połączeń, jeśli Cisco Unified CM jest włączony Dedykowane wystąpienie nie może zakończyć połączenia.
Bramy obsługujące protokół SRST zawierają certyfikat z podpisem własnym. Gdy partner wykona zadania konfiguracyjne SRST w Unified CM Administration, Unified CM używa połączenia TLS do uwierzytelniania w usłudze dostawcy certyfikatu w bramie z włączoną obsługą SRST. Następnie Unified CM pobiera certyfikat z bramy z włączoną funkcją SRST i dodaje certyfikat do bazy danych Unified CM .
Gdy partner zresetuje urządzenia zależne w aplikacji Unified CM Administration, serwer TFTP dodaje certyfikat bramy z obsługą protokołu SRST do pliku cnf.xml telefonu i wysyła plik do telefonu. Następnie bezpieczny telefon używa połączenia TLS do interakcji z bramą z włączoną obsługą SRST.
Zalecane jest posiadanie bezpiecznych łączy trunkingowych dla połączeń wychodzących z Cisco Unified CM do bramy wychodzących połączeń PSTN lub przechodzących przez Cisco Unified Border Element (CUBE).
Łącza SIP mogą obsługiwać bezpieczne połączenia zarówno w zakresie sygnalizacji, jak i mediów; TLS zapewnia szyfrowanie sygnalizacji, a SRTP zapewnia szyfrowanie multimediów.
Zabezpieczanie komunikacji między Cisco Unified CM a CUBE
Aby zapewnić bezpieczną komunikację między Cisco Unified CM i CUBE, partnerzy/klienci muszą używać certyfikatu z podpisem własnym lub certyfikatu z podpisem urzędu certyfikacji.
W przypadku certyfikatów z podpisem własnym:
CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym
CUBE eksportuje certyfikat do Cisco Unified CM
Cisco Unified CM eksportuje certyfikat do CUBE
W przypadku certyfikatów podpisanych przez urząd certyfikacji:
Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu Certificate Authority (CA)
Urząd certyfikacji podpisuje go swoim kluczem prywatnym, tworząc certyfikat tożsamości
Klient instaluje listę zaufanych certyfikatów głównych i pośrednich urzędu certyfikacji oraz certyfikat tożsamości
Zabezpieczenia zdalnych punktów końcowych
Dzięki punktom końcowym Mobile i Remote Access (MRA) sygnalizacja i media są zawsze szyfrowane między punktami końcowymi MRA a węzłami Expressway. Jeśli dla punktów końcowych MRA jest używany protokół Interactive Connectivity Establishment (ICE), wymagane jest szyfrowanie sygnalizacji i mediów punktów końcowych MRA. Jednak szyfrowanie sygnalizacji i multimediów między Expressway-C a wewnętrznymi serwerami Unified CM , wewnętrznymi punktami końcowymi lub innymi urządzeniami wewnętrznymi wymaga trybu mieszanego lub SIP OAuth.
Cisco Expressway zapewnia bezpieczne przechodzenie przez zaporę ogniową i obsługę linii dla rejestracji Unified CM . Unified CM zapewnia kontrolę połączeń zarówno dla mobilnych, jak i lokalnych punktów końcowych. Sygnalizacja przechodzi przez rozwiązanie Expressway między zdalnym punktem końcowym a systemem Unified CM. Media przechodzą przez rozwiązanie Expressway i są przekazywane bezpośrednio między punktami końcowymi. Wszystkie media między Expressway-C a mobilnym punktem końcowym są szyfrowane.
Każde rozwiązanie MRA wymaga Expressway i Unified CM z klientami programowymi zgodnymi z MRA i/lub stałymi punktami końcowymi. Rozwiązanie może opcjonalnie obejmować usługę wiadomości błyskawicznych i obecności oraz Unity Connection.
Podsumowanie protokołu
W poniższej tabeli przedstawiono protokoły i powiązane usługi używane w rozwiązaniu Unified CM .
Protokół |
Zabezpieczenia |
Usługa |
---|---|---|
SIP |
TLS |
Nawiązywanie sesji: Zarejestruj się, zaproś itp. |
HTTPS |
TLS |
Logowanie, obsługa administracyjna/konfiguracja, katalog, wizualna poczta głosowa |
Multimedia |
SRTP |
Multimedia: Udostępnianie audio, wideo i treści |
XMPP |
TLS |
Wiadomości błyskawiczne, obecność, federacja |
Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcje konfiguracji
The Dedykowane wystąpienie zapewnia partnerowi elastyczność w dostosowywaniu usług dla użytkowników końcowych poprzez pełną kontrolę nad konfiguracjami drugiego dnia. W rezultacie Partner ponosi wyłączną odpowiedzialność za prawidłową konfigurację Dedykowane wystąpienie usługa dla środowiska użytkownika końcowego. Obejmuje to między innymi:
Wybieranie bezpiecznych/niezabezpieczonych połączeń, bezpiecznych/niezabezpieczonych protokołów, takich jak SIP/sSIP, http/https itp., oraz zrozumienie wszelkich powiązanych zagrożeń.
Dla wszystkich adresów MAC , które nie są skonfigurowane jako zabezpieczone SIP w Dedykowane wystąpienie , osoba atakująca może wysłać wiadomość rejestru SIP przy użyciu tego adresu MAC i wykonywać połączenia SIP, co skutkuje oszustwem w zakresie opłat. Warunkiem koniecznym jest to, aby osoba atakująca mogła zarejestrować swoje urządzenie/oprogramowanie SIP w: Dedykowane wystąpienie bez autoryzacji, jeśli zna adres MAC urządzenia zarejestrowanego w Dedykowane wystąpienie .
Zasady połączeń Expressway-E, reguły przekształcania i wyszukiwania należy skonfigurować w celu zapobiegania oszustwom związanym z opłatami. Aby uzyskać więcej informacji na temat zapobiegania oszustwom związanym z opłatami drogowymi za pomocą usługi Expressways, zobacz sekcję Zabezpieczenia Expressway C i Expressway-E w SRND współpracy .
Konfiguracja planu wybierania zapewniająca, że użytkownicy mogą wybierać tylko te adresy docelowe, które są dozwolone, np. zabronić nawiązywania połączeń krajowych/międzynarodowych, połączenia alarmowe są prawidłowo kierowane itp. Aby uzyskać więcej informacji na temat stosowania ograniczeń przy użyciu planu wybierania, zobacz Plan wybierania sekcji Collaboration SRND.
Wymagania dotyczące certyfikatów dla bezpiecznych połączeń w dedykowanym wystąpieniu
W przypadku wystąpienia dedykowanego firma Cisco dostarczy domenę i podpisze wszystkie certyfikaty dla aplikacji UC za pomocą publicznego Certificate Authority (CA).
Dedykowane wystąpienie — numery portów i protokoły
W poniższych tabelach opisano porty i protokoły obsługiwane w wystąpieniu dedykowanym. Porty używane dla danego klienta zależą od wdrożenia i rozwiązania klienta. Protokoły zależą od preferencji klienta (SCCP lub SIP), istniejących urządzeń lokalnych i poziomu zabezpieczeń, aby określić, które porty mają być używane w każdym wdrożeniu.
Dedykowane wystąpienie nie zezwala na translację adresów sieciowych (NAT) między punktami końcowymi a Unified CM , ponieważ niektóre funkcje przepływu połączeń nie będą działać, na przykład funkcja w trakcie połączenia. |
Wystąpienie dedykowane — porty klienta
Porty dostępne dla klientów — między klientem lokalnym a wystąpieniem dedykowanym przedstawiono w tabeli 1 Dedykowane porty klienta wystąpienia . Wszystkie wymienione poniżej porty są przeznaczone dla ruchu klientów przechodzących przez łącza równorzędne.
Port SNMP jest obsługiwany tylko dla funkcji CER, a nie dla innych narzędzi monitorowania innych firm. |
Porty z zakresu od 5063 do 5080 są zarezerwowane przez firmę Cisco na potrzeby innych integracji z chmurą. Zaleca się, aby administratorzy partnerów lub klientów nie używali tych portów w swoich konfiguracjach. |
Protokół |
TCP/UDP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
Aplikacje UC |
Większe niż 1023 |
22 |
Administrowanie |
TFTP |
UDP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
69 |
Obsługa starszych punktów końcowych |
LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
389 |
Synchronizacja katalogu z klientem LDAP |
HTTPS |
TCP |
Przeglądarka |
Aplikacje UC |
Większe niż 1023 |
443 |
Dostęp przez Internet do interfejsów samoobsługowych i administracyjnych |
Poczta wychodząca (BEZPIECZNY) |
TCP |
Aplikacja UC |
CUCxn |
Większe niż 1023 |
587 |
Służy do tworzenia i wysyłania bezpiecznych wiadomości do wyznaczonych odbiorców |
LDAP (BEZPIECZNY) |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
636 |
Synchronizacja katalogu z klientem LDAP |
H323 |
TCP |
Brama |
Unified CM |
Większe niż 1023 |
1720 |
Sygnalizacja połączenia |
H323 |
TCP |
Unified CM |
Unified CM |
Większe niż 1023 |
1720 |
Sygnalizacja połączenia |
SCCP |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większe niż 1023 |
2000 |
Sygnalizacja połączenia |
SCCP |
TCP |
Unified CM |
Unified CM, brama |
Większe niż 1023 |
2000 |
Sygnalizacja połączenia |
MGCP |
UDP |
Brama |
Brama |
Większe niż 1023 |
2427 |
Sygnalizacja połączenia |
MGCP Blackhaul |
TCP |
Brama |
Unified CM |
Większe niż 1023 |
2428 |
Sygnalizacja połączenia |
SCCP (BEZPIECZNY) |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większe niż 1023 |
2443 |
Sygnalizacja połączenia |
SCCP (BEZPIECZNY) |
TCP |
Unified CM |
Unified CM, brama |
Większe niż 1023 |
2443 |
Sygnalizacja połączenia |
Weryfikacja zaufania |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2445 |
Udostępnianie usługi weryfikacji zaufania punktom końcowym |
CTI |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2748 |
Połączenie między aplikacjami CTI (JTAPI/TSP) i CTIManager |
Bezpieczny CTI |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2749 |
Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) i CTIManager |
Katalog globalny LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
3268 |
Synchronizacja katalogu z klientem LDAP |
Katalog globalny LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
3269 |
Synchronizacja katalogu z klientem LDAP |
Usługa CAPF |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
3804 |
Port nasłuchiwania funkcji serwera proxy Certificate Authority (CAPF) do wydawania certyfikatów LSC( Locally Significant Certificate ) telefonom IP |
SIP |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większe niż 1023 |
5060 |
Sygnalizacja połączenia |
SIP |
TCP |
Unified CM |
Unified CM, brama |
Większe niż 1023 |
5060 |
Sygnalizacja połączenia |
SIP (BEZPIECZNY) |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
5061 |
Sygnalizacja połączenia |
SIP (BEZPIECZNY) |
TCP |
Unified CM |
Unified CM, brama |
Większe niż 1023 |
5061 |
Sygnalizacja połączenia |
SIP (OAUTH) |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
5090 |
Sygnalizacja połączenia |
XMPP |
TCP |
Klient Jabbera |
Cisco IM&P |
Większe niż 1023 |
5222 |
Wiadomości błyskawiczne i obecność |
HTTP |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6970 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6971 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6972 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
HTTP |
TCP |
Klient Jabbera |
CUCxn |
Większe niż 1023 |
7080 |
Powiadomienia poczty głosowej |
HTTPS |
TCP |
Klient Jabbera |
CUCxn |
Większe niż 1023 |
7443 |
Bezpieczne powiadomienia poczty głosowej |
HTTPS |
TCP |
Unified CM |
Unified CM |
Większe niż 1023 |
7501 |
Używany przez usługę Intercluster Lookup Service (ILS) do uwierzytelniania opartego na certyfikatach |
HTTPS |
TCP |
Unified CM |
Unified CM |
Większe niż 1023 |
7502 |
Używany przez ILS do uwierzytelniania opartego na hasłach |
IMAP |
TCP |
Klient Jabbera |
CUCxn |
Większe niż 1023 |
7993 |
IMAP przez TLS |
HTTP |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
8080 |
Identyfikator URI katalogu dla obsługi starszych punktów końcowych |
HTTPS |
TCP |
Przeglądarka, punkt końcowy |
Aplikacje UC |
Większe niż 1023 |
8443 |
Dostęp przez Internet do interfejsów samoobsługowych i administracyjnych, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Większe niż 1023 |
9443 |
Wyszukiwanie kontaktów uwierzytelnionych |
HTTPs |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
9444 |
Funkcja zarządzania zestawem słuchawkowym |
Bezpieczny RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Multimedia (audio) — wstrzymana muzyka, komunikator, programowy mostek konferencyjny (otwarty na podstawie sygnalizacji połączenia) |
Bezpieczny RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Multimedia (audio) — wstrzymana muzyka, komunikator, programowy mostek konferencyjny (otwarty na podstawie sygnalizacji połączenia) |
COBRAS |
TCP |
Klient |
CUCxn |
Większe niż 1023 |
20532 |
Pakiet aplikacji do tworzenia kopii zapasowych i przywracania danych |
ICMP |
ICMP |
Punkt końcowy |
Aplikacje UC |
nd. |
nd. |
Ping |
ICMP |
ICMP |
Aplikacje UC |
Punkt końcowy |
nd. |
nd. |
Ping |
* W niektórych szczególnych przypadkach może być używany większy zakres. |
Dedykowane wystąpienie — porty OTT
Następujące porty mogą być używane przez klientów i partnerów w zakresie konfiguracji dostępu mobilnego i zdalnego (MRA):
Protokół |
TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
BEZPIECZNY RTP/ RTCP |
UDP |
Droga ekspresowa C |
Klient |
Większe niż 1023 |
36000-59999 |
Bezpieczne nośniki dla połączeń MRA i B2B |
Wystąpienie dedykowane — porty UCCX
Poniższa lista portów może być używana przez klientów i partnerów do konfigurowania systemu UCCX.
Protokół |
TCP /UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Większe niż 1023 |
22 |
SFTP i SSH |
Informix |
TCP |
Klient lub serwer |
UCCX |
Większe niż 1023 |
1504 |
Unified CCX |
SIP |
UDP i TCP |
Serwer SIP GW lub MCRP |
UCCX |
Większe niż 1023 |
5065 |
Komunikacja ze zdalnymi węzłami GW i MCRP |
XMPP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
5223 |
Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm |
CVD |
TCP |
Klient |
UCCX |
Większe niż 1023 |
6999 |
Edytor do aplikacji CCX |
HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
7443 |
Bezpieczne połączenie BOSH między serwerem Finesse a komputerami agenta i nadzorcy w celu komunikacji za pośrednictwem protokołu HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8080 |
Klienci raportowania danych na żywo łączą się z serwerem socket.IO |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8081 |
Przeglądarka klienta próbuje uzyskać dostęp do interfejsu internetowego Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8443 |
GUI administratora, RTCP, dostęp do bazy danych przez SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8444 |
Interfejs internetowy Cisco Unified Intelligence Center |
HTTPS |
TCP |
Przeglądarka i klienci REST |
UCCX |
Większe niż 1023 |
8445 |
Bezpieczny port dla Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8447 |
HTTPS — pomoc online Unified Intelligence Center |
HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8553 |
Komponenty jednokrotnego logowania (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan działania usługi Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
9080 |
Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów/monitów/gramatyk/danych bieżących. |
HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
9443 |
Bezpieczny port używany do odpowiadania klientom próbującym uzyskać dostęp do wyzwalaczy HTTPS |
TCP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12014 |
Jest to port, przez który klienci raportowania danych na żywo mogą łączyć się z serwerem socket.IO |
TCP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12015 |
Jest to port, przez który klienci raportowania danych na żywo mogą łączyć się z serwerem socket.IO |
CTI |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12028 |
Zewnętrzny klient CTI dla CCX |
RTP(media) |
TCP |
Punkt końcowy |
UCCX |
Większe niż 1023 |
Większe niż 1023 |
Port multimediów jest otwierany dynamicznie w razie potrzeby |
RTP(media) |
TCP |
Klient |
Punkt końcowy |
Większe niż 1023 |
Większe niż 1023 |
Port multimediów jest otwierany dynamicznie w razie potrzeby |
Bezpieczeństwo klienta
Zabezpieczanie Jabbera i Webex za pomocą protokołu SIP OAuth
Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast certyfikatu ważnego lokalnie (LSC), który nie wymaga włączenia funkcji serwera proxy urzędu certyfikacji (CAPF) (również dla MRA). Protokół SIP OAuth działający w trybie mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
W Cisco Unified CM 12.5 dostępna jest nowa opcja w profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez użycia algorytmu LSC/ CAPF przy użyciu pojedynczego tokenu Transport Layer Security (TLS) + tokenu OAuth w protokole SIP REGISTER. Węzły Expressway-C używają API AXL (Administracyjne XML Web Service) do informowania systemu Cisco Unified CM o SN/SAN w ich certyfikacie. Cisco Unified CM wykorzystuje te informacje do sprawdzania poprawności certyfikatu Exp-C podczas nawiązywania wzajemnego połączenia TLS .
SIP OAuth umożliwia szyfrowanie multimediów i sygnalizacji bez certyfikatu punktu końcowego (LSC).
Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP w celu pobrania plików konfiguracyjnych. Port 6970 to niezabezpieczony port do pobierania za pośrednictwem protokołu HTTP.
Więcej informacji o konfiguracji protokołu SIP OAuth: Tryb SIP OAuth .
Wymagania DNS
Dla wystąpienia dedykowanego Cisco udostępnia nazwę FQDN dla usługi w każdym regionie w następującym formacie:<customer> .<region> .wxc-di.webex.com na przykład xyz.amer.wxc-di.webex.com .
Wartość „klient” jest podawana przez administratora w ramach kreatora pierwszej konfiguracji (FTSW). Aby uzyskać więcej informacji, zobacz Aktywacja usługi dedykowanego wystąpienia .
Rekordy DNS dla tej nazwy FQDN muszą być rozpoznawane z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z wystąpieniem dedykowanym. Aby ułatwić rozwiązywanie, klient musi skonfigurować usługę warunkowego przesyłania dalej dla tej nazwy FQDN na swoim serwerze DNS , wskazując usługę DNS dedykowanego wystąpienia. Usługa DNS wystąpienia dedykowanego ma charakter regionalny i można się z nią połączyć za pośrednictwem połączenia równorzędnego z wystąpieniem dedykowanym, korzystając z następujących adresów IP wymienionych w poniższej tabeli Adres IP usługi DNS dedykowanego wystąpienia .
Region/DC |
Adres IP usługi DNS dedykowanego wystąpienia | Przykład warunkowego przekierowania |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Ze względów bezpieczeństwa opcja ping jest wyłączona dla wyżej wymienionych adresów IP serwerów DNS . |
Dopóki przekierowanie warunkowe nie zostanie uruchomione, urządzenia nie będą mogły zarejestrować się w wystąpieniu dedykowanym z sieci wewnętrznej klienta za pośrednictwem łączy równorzędnych. Przekazywanie warunkowe nie jest wymagane w przypadku rejestracji za pośrednictwem dostępu mobilnego i zdalnego (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS w celu ułatwienia obsługi MRA zostaną wstępnie udostępnione przez firmę Cisco.
Jeśli aplikacja Webex jest używana jako klient programowy dla połączeń w wystąpieniu dedykowanym, w usłudze Control Hub należy skonfigurować profil menedżera UC dla domeny usługi głosowej (VSD) każdego regionu. Aby uzyskać więcej informacji, zobacz Profile UC Manager w Cisco Webex Control Hub . Aplikacja Webex będzie w stanie automatycznie rozwiązać problem Expressway Edge klienta bez interwencji użytkownika końcowego.
Domena usługi głosowej zostanie udostępniona klientowi jako część dokumentu dostępu partnera po zakończeniu aktywacji usługi. |
Materiały referencyjne
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), temat zabezpieczeń: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Podręcznik zabezpieczeń programu Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html