Wymagania sieciowe dla dedykowanej instancji
Webex Calling Dedicated Instance jest częścią portfolio Cisco Cloud Calling, opartego na technologii współpracy Cisco Unified Communications Manager (Cisco Unified CM). Dedykowana instancja oferuje rozwiązania głosowe, wideo, komunikacyjne i mobilne z funkcjami i zaletami telefonów IP, urządzeń mobilnych i klientów stacjonarnych Cisco, które bezpiecznie łączą się z dedykowaną instancją.
Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zabezpieczeń zapory i serwera proxy, którzy chcą używać dedykowanego wystąpienia w swojej organizacji. Ten dokument koncentruje się przede wszystkim na wymaganiach sieciowych i bezpieczeństwie rozwiązania dedykowanej instancji, w tym warstwowym podejściu do funkcji i funkcjonalności, które zapewniają bezpieczny dostęp fizyczny, bezpieczną sieć, bezpieczne punkty końcowe i bezpieczne aplikacje Cisco UC.
Przegląd zabezpieczeń: Zabezpieczenia w warstwach
Dedykowana instancja wykorzystuje warstwowe podejście do bezpieczeństwa. Warstwy obejmują:
Dostęp fizyczny
Sieć
Punkty końcowe
Aplikacje UC
W poniższych sekcjach opisano warstwy zabezpieczeń we wdrożeniach dedykowanych wystąpień .
Bezpieczeństwo fizyczne
Ważne jest, aby zapewnić fizyczne bezpieczeństwo lokalizacjom Equinix Meet-Me Room i obiektom Cisco Dedicated Instance Data Center. Gdy zabezpieczenia fizyczne zostaną naruszone, można zainicjować proste ataki, takie jak zakłócenie usługi poprzez wyłączenie zasilania przełączników klienta. Dzięki fizycznemu dostępowi osoby atakujące mogą uzyskać dostęp do urządzeń serwerowych, zresetować hasła i uzyskać dostęp do przełączników. Dostęp fizyczny ułatwia również bardziej wyrafinowane ataki, takie jak ataki typu man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, ma kluczowe znaczenie.
Dyski samoszyfrujące są używane w centrach danych dedykowanych instancji , które obsługują aplikacje UC.
Aby uzyskać więcej informacji na temat ogólnych praktyk bezpieczeństwa, zapoznaj się z dokumentacją w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Bezpieczeństwo sieci
Partnerzy muszą upewnić się, że wszystkie elementy sieci są zabezpieczone w infrastrukturze dedykowanej instancji (która łączy się za pośrednictwem Equinix). Obowiązkiem partnera jest zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:
Oddzielna sieć VLAN dla głosu i danych
Włącz zabezpieczenia portów, które ograniczają liczbę adresów MAC dozwolonych na port, przed zalaniem tabeli CAM
Ochrona źródła IP przed sfałszowanymi adresami IP
Dynamiczna inspekcja ARP (DAI) bada protokół rozpoznawania adresów (ARP) i nieuzasadniony ARP (GARP) pod kątem naruszeń (przed fałszowaniem ARP)
802.1x ogranicza dostęp do sieci w celu uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują standard 8021x).
Konfiguracja jakości usług (QoS) dla odpowiedniego oznaczania pakietów głosowych
Konfiguracje portów zapory sieciowej do blokowania innego ruchu
Bezpieczeństwo punktów końcowych
Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie układowe, bezpieczny rozruch (wybrane modele), certyfikat zainstalowany przez producenta (MIC) i podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.
Ponadto partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:
Szyfrowanie usług telefonii IP (przez HTTPS) dla usług takich jak Extension Mobility
Wystawianie certyfikatów istotnych lokalnie (LSC) z funkcji serwera proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)
Szyfrowanie plików konfiguracyjnych
Szyfrowanie multimediów i sygnalizacji
Wyłącz te ustawienia, jeśli nie są używane: Port PC, PC Voice VLAN Access, Bezpłatny ARP, Web Access, Przycisk Ustawienia, SSH, konsola
Implementacja mechanizmów bezpieczeństwa w Dedykowanej Instancji zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz sygnalizacji połączeń / manipulowaniu strumieniem multimediów.
Dedykowana instancja przez sieć:
Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji
Cyfrowe podpisywanie plików przed przesłaniem pliku do telefonu
Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified
Zabezpieczenia domyślnie zapewniają następujące automatyczne funkcje zabezpieczeń dla telefonów IP Cisco Unified:
Podpisywanie plików konfiguracyjnych telefonu
Obsługa szyfrowania plików konfiguracyjnych telefonu
HTTPS z Tomcat i innymi usługami internetowymi (MIDlets)
W przypadku unified CM Release 8.0 nowsze te funkcje zabezpieczeń są domyślnie dostępne bez uruchamiania klienta listy zaufania certyfikatów (CTL).
Ponieważ w sieci znajduje się duża liczba telefonów, a telefony IP mają ograniczoną pamięć, Cisco Unified CM działa jako zdalny magazyn zaufania za pośrednictwem usługi weryfikacji zaufania (TRUST Verification Service), dzięki czemu magazyn zaufania certyfikatów nie musi być umieszczany na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu lub certyfikatu za pomocą plików CTL lub ITL. Posiadanie centralnego magazynu zaufania jest łatwiejsze w zarządzaniu niż posiadanie magazynu zaufania na każdym telefonie IP Cisco Unified.
TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas ustanawiania protokołu HTTPS.
Plik początkowej listy zaufania (ITL) jest używany do początkowego zabezpieczenia, dzięki czemu punkty końcowe mogą ufać Cisco Unified CM. ITL nie wymaga jawnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest tworzony automatycznie po zainstalowaniu klastra. Klucz prywatny serwera TFTP (Unified CM Trivial File Transfer Protocol) jest używany do podpisywania pliku ITL.
Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdy obsługiwany telefon IP Cisco. Partner może wyświetlić zawartość pliku ITL za pomocą polecenia interfejsu wiersza polecenia admin:show itl.
Telefony IP Cisco potrzebują pliku ITL do wykonywania następujących zadań:
Bezpieczna komunikacja z CAPF, co jest warunkiem wstępnym obsługi szyfrowania plików konfiguracyjnych
Uwierzytelnianie podpisu pliku konfiguracyjnego
Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas ustanawiania protokołu HTTPS przy użyciu TVS
Uwierzytelnianie urządzeń, plików i sygnalizacji opiera się na utworzeniu pliku listy zaufania certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufania certyfikatów Cisco.
Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczających:
Token zabezpieczający Administratora systemu (SAST)
Usługi Cisco CallManager i Cisco TFTP uruchomione na tym samym serwerze
Funkcja proxy urzędu certyfikacji (CAPF)
Serwery TFTP
Zapora sieciowa ASA
Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę wystawcy, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP dla każdego serwera.
Zabezpieczenia telefonu z CTL zapewniają następujące funkcje:
Uwierzytelnianie pobranych plików TFTP (konfiguracja, ustawienia regionalne, lista pierścieni itd.) przy użyciu klucza podpisywania
Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza podpisywania
Szyfrowana sygnalizacja połączeń dla telefonów IP
Szyfrowane połączenie audio (media) dla telefonów IP
Dedykowana instancja zapewnia rejestrację punktów końcowych i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi jest oparta na protokole ScCP (Secure Skinny Client Control Protocol) lub SIP (Session Initiation Protocol) i może być szyfrowana przy użyciu protokołu TLS (Transport Layer Security). Nośnik z/do punktów końcowych jest oparty na protokole RTP (Real-time Transport Protocol) i może być również szyfrowany przy użyciu protokołu Secure RTP (SRTP).
Włączenie trybu mieszanego w Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i medialnego z i do punktów końcowych Cisco.
Bezpieczne aplikacje UC
Tryb mieszany nie jest domyślnie włączony w wystąpieniu dedykowanym.
Włączenie trybu mieszanego w dedykowanej instancji umożliwia szyfrowanie sygnalizacji i ruchu multimedialnego z i do punktów końcowych Cisco.
W Cisco Unified CM release 12.5(1) dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w Unified CM w wersji 12.5(1) SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i multimediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest nadal wymagane dla telefonów IP Cisco i innych punktów końcowych Cisco w tym czasie. Istnieje plan dodania obsługi SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.
Cisco Unity Connection łączy się z Unified CM przez port TLS. Gdy tryb zabezpieczeń urządzenia nie jest bezpieczny, Cisco Unity Connection łączy się z Unified CM przez port SCCP.
Aby skonfigurować zabezpieczenia portów wiadomości głosowych Unified CM i urządzeń Cisco Unity z uruchomionym SCCP lub Cisco Unity Connection, na których jest uruchomiony SCCP, partner może wybrać tryb zabezpieczeń bezpiecznego urządzenia dla portu. Jeśli wybierzesz port uwierzytelnionej poczty głosowej, zostanie otwarte połączenie TLS, które uwierzytelnia urządzenia przy użyciu wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat drugiego urządzenia). Jeśli wybierzesz zaszyfrowany port poczty głosowej, system najpierw uwierzytelni urządzenia, a następnie wysyła zaszyfrowane strumienie głosu między urządzeniami.
Aby uzyskać więcej informacji na temat portów wiadomości Security Voice, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Zabezpieczenia dla SRST, Trunks, Gateways, CUBE/SBC
Brama obsługująca technologię SrST (Remote Site Telephony) firmy Cisco Unified Survivable Remote Site Telephony zapewnia ograniczone zadania przetwarzania połączeń, jeśli cisco Unified CM w wystąpieniu dedykowanym nie może ukończyć połączenia.
Bezpieczne bramy obsługujące protokół SRST zawierają certyfikat z podpisem własnym. Gdy partner wykona zadania konfiguracyjne SRST w ujednoliconej administracji CM, Unified CM używa połączenia TLS do uwierzytelniania za pomocą usługi Dostawcy certyfikatów w bramie obsługującej SRST. Następnie Unified CM pobiera certyfikat z bramy obsługującej SRST i dodaje certyfikat do bazy danych Unified CM.
Po zresetowaniu urządzeń zależnych przez partnera w ujednoliconej administracji CM serwer TFTP dodaje certyfikat bramy obsługującej PROTOKÓŁ SRST do pliku cnf.xml telefonu i wysyła plik do telefonu. Bezpieczny telefon używa następnie połączenia TLS do interakcji z bramą obsługującą SRST.
Zaleca się posiadanie bezpiecznych magistrali dla połączenia pochodzącego z Cisco Unified CM do bramy dla wychodzących połączeń PSTN lub przechodzenia przez Cisco Unified Border Element (CUBE).
Magistrale SIP mogą obsługiwać bezpieczne połączenia zarówno dla sygnalizacji, jak i mediów; Protokół TLS zapewnia szyfrowanie sygnalizacji, a protokół SRTP zapewnia szyfrowanie nośników.
Zabezpieczanie komunikacji między Cisco Unified CM i CUBE
Aby zapewnić bezpieczną komunikację między Cisco Unified CM i CUBE, partnerzy/klienci muszą używać certyfikatów z podpisem własnym lub certyfikatów podpisanych przez urząd certyfikacji.
W przypadku certyfikatów z podpisem własnym:
CUBE i Cisco Unified CM generują certyfikaty z podpisem własnym
CUBE eksportuje certyfikat do Cisco Unified CM
Cisco Unified CM eksportuje certyfikat do modułu CUBE
W przypadku certyfikatów podpisanych przez urząd certyfikacji:
Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)
Urząd certyfikacji podpisuje go swoim kluczem prywatnym, tworząc certyfikat tożsamości
Klient instaluje listę zaufanych certyfikatów głównych i pośredniczących urzędów certyfikacji oraz certyfikat tożsamości
Zabezpieczenia zdalnych punktów końcowych
W przypadku punktów końcowych dostępu mobilnego i zdalnego (MRA) sygnalizacja i nośniki są zawsze szyfrowane między punktami końcowymi MRA a węzłami drogi ekspresowej. Jeśli protokół ICE (Interactive Connectivity Establishment) jest używany dla punktów końcowych MRA, wymagane jest szyfrowanie sygnalizacji i nośników punktów końcowych MRA. Jednak szyfrowanie sygnalizacji i nośników między Expressway-C a wewnętrznymi serwerami Unified CM, wewnętrznymi punktami końcowymi lub innymi urządzeniami wewnętrznymi wymaga trybu mieszanego lub SIP OAuth.
Cisco Expressway zapewnia bezpieczne przechodzenie przez zaporę i obsługę linii dla ujednoliconych rejestracji CM. Unified CM zapewnia kontrolę połączeń zarówno dla mobilnych, jak i lokalnych punktów końcowych. Sygnalizacja przechodzi przez rozwiązanie Expressway między zdalnym punktem końcowym a Unified CM. Media przechodzą przez rozwiązanie Expressway i są przekazywane bezpośrednio między punktami końcowymi. Wszystkie nośniki są szyfrowane między drogą ekspresową C a mobilnym punktem końcowym.
Każde rozwiązanie MRA wymaga Expressway i Unified CM, z miękkimi klientami kompatybilnymi z MRA i / lub stałymi punktami końcowymi. Rozwiązanie może opcjonalnie obejmować usługi IM i Presence Service oraz Unity Connection.
Podsumowanie protokołu
W poniższej tabeli przedstawiono protokoły i skojarzone usługi używane w rozwiązaniu Unified CM.
Protokół |
Zabezpieczenia |
Usługa |
---|---|---|
SIP |
TLS |
Ustanowienie sesji: Zarejestruj się, zaproś itp. |
Protokół HTTPS |
TLS |
Logowanie, Inicjowanie obsługi/konfiguracja, Katalog, Wizualna poczta głosowa |
Multimedia |
Protokół SRTP |
Media: Audio, wideo, udostępnianie treści |
XMPP |
TLS |
Wiadomości błyskawiczne, obecność, federacja |
Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcje konfiguracji
Dedykowana instancja zapewnia partnerowi elastyczność dostosowywania usług dla użytkowników końcowych poprzez pełną kontrolę nad konfiguracjami drugiego dnia. W rezultacie Partner ponosi wyłączną odpowiedzialność za prawidłową konfigurację usługi Dedykowanej Instancji dla środowiska użytkownika końcowego. Obejmuje to między innymi:
Wybór bezpiecznych / niezabezpieczonych połączeń, bezpiecznych / niezabezpieczonych protokołów, takich jak SIP / sSIP, http / https itp. i zrozumienie wszelkich powiązanych zagrożeń.
W przypadku wszystkich adresów MAC, które nie zostały skonfigurowane jako bezpieczne SIP w dedykowanym wystąpieniu, osoba atakującamoże wysłać wiadomość SIP Register przy użyciu tego adresu MAC i być w stanie wykonywać połączenia SIP, co prowadzi do oszustw związanych z opłatami drogowymi. Zaletą jest to, że atakujący może zarejestrować swoje urządzenie/oprogramowanie SIP w dedykowanej instancji bez autoryzacji, jeśli zna adres MAC urządzenia zarejestrowanego w dedykowanej instancji.
Zasady połączeń Expressway-E, transform i reguły wyszukiwania powinny być skonfigurowane tak, aby zapobiec oszustwom związanym z opłatami drogowymi. Aby uzyskać więcej informacji na temat zapobiegania oszustwom związanym z opłatami drogowymi przy użyciu dróg ekspresowych, zapoznaj się z sekcją Bezpieczeństwo drogi ekspresowej C i drogi ekspresowej E Collaboration SRND.
Konfiguracja planu wybierania numerów, aby zapewnić, że użytkownicy mogą wybierać tylko miejsca docelowe, które są dozwolone, np. Zabraniaj wybierania numerów krajowych / międzynarodowych, połączenia alarmowe są prawidłowo przekierowywane itp. Więcej informacji na temat stosowania ograniczeń przy użyciu planu wybierania numerów można znaleźć w sekcji Plan wybierania numerów w sekcji Współpraca SRND.
Wymagania dotyczące certyfikatów dla bezpiecznych połączeń w wystąpieniu dedykowanym
W przypadku dedykowanego wystąpienia firma Cisco udostępni domenę i podpisze wszystkie certyfikaty dla aplikacji UC przy użyciu publicznego urzędu certyfikacji (CA).
Dedykowana instancja – numery portów i protokoły
W poniższych tabelach opisano porty i protokoły obsługiwane w wystąpieniu dedykowanym. Porty, które są używane dla danego klienta, zależą od wdrożenia i rozwiązania klienta. Protokoły zależą od preferencji klienta (SCCP vs SIP), istniejących urządzeń lokalnych i poziomu zabezpieczeń określających, które porty mają być używane w każdym wdrożeniu.
Dedykowana instancja – porty klienta
Porty dostępne dla klientów - pomiędzy siedzibą klienta a wystąpieniem dedykowanym są pokazane w tabeli 1 Porty klienta dedykowanej instancji. Wszystkie porty wymienione poniżej są przeznaczone dla ruchu klientów przechodzącego przez łącza równorzędne.
Port SNMP jest obsługiwany tylko dla funkcji CER, a nie dla innych narzędzi do monitorowania innych firm. |
Porty z zakresu od 5063 do 5080 są zarezerwowane przez Cisco dla innych integracji z chmurą, zaleca się, aby administratorzy partnerscy lub klienci nie używali tych portów w swoich konfiguracjach. |
Protokół |
Protokół TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
Protokół SSH |
TCP |
Klient |
Aplikacje UC |
Większe niż 1023 |
22 |
Administracja |
LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
389 |
Synchronizacja katalogów z protokołem LDAP klienta |
Protokół HTTPS |
TCP |
Przeglądarka |
Aplikacje UC |
Większe niż 1023 |
443 |
Dostęp do sieci Web dla interfejsów samoobsługowych i administracyjnych |
LDAP (BEZPIECZNY) |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
636 |
Synchronizacja katalogów z protokołem LDAP klienta |
ScCP |
TCP |
Punkt końcowy |
Zunifikowany CM, CUCxn |
Większe niż 1023 |
2000 |
Sygnalizacja połączeń |
ScCP |
TCP |
Unified CM |
Zunifikowany CM, Gateway |
Większe niż 1023 |
2000 |
Sygnalizacja połączeń |
SCCP (BEZPIECZNE) |
TCP |
Punkt końcowy |
Zunifikowany CM, CUCxn |
Większe niż 1023 |
2443 |
Sygnalizacja połączeń |
SCCP (BEZPIECZNE) |
TCP |
Unified CM |
Zunifikowany CM, Gateway |
Większe niż 1023 |
2443 |
Sygnalizacja połączeń |
Weryfikacja zaufania |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2445 |
Świadczenie usługi weryfikacji zaufania dla punktów końcowych |
CTI |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2748 |
Połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager |
Bezpieczne CTI |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
2749 |
Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager |
Wykaz globalny LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
3268 |
Synchronizacja katalogów z protokołem LDAP klienta |
Wykaz globalny LDAP |
TCP |
Aplikacje UC |
Katalog zewnętrzny |
Większe niż 1023 |
3269 |
Synchronizacja katalogów z protokołem LDAP klienta |
Usługa CAPF |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
3804 |
Port nasłuchiwania funkcji CAPF (Certificate Authority Proxy Function) do wystawiania certyfikatów O znaczeniu lokalnym (LSC) telefonom IP |
SIP |
TCP |
Punkt końcowy |
Zunifikowany CM, CUCxn |
Większe niż 1023 |
5060 |
Sygnalizacja połączeń |
SIP |
TCP |
Unified CM |
Zunifikowany CM, Gateway |
Większe niż 1023 |
5060 |
Sygnalizacja połączeń |
SIP (BEZPIECZNY) |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
5061 |
Sygnalizacja połączeń |
SIP (BEZPIECZNY) |
TCP |
Unified CM |
Zunifikowany CM, Gateway |
Większe niż 1023 |
5061 |
Sygnalizacja połączeń |
SIP (OAUTH) |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
5090 |
Sygnalizacja połączeń |
XMPP |
TCP |
Klient Jabber |
Cisco IM&P |
Większe niż 1023 |
5222 |
Wiadomości błyskawiczne i informacje o obecności |
HTTP |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6970 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
Protokół HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6971 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
Protokół HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większe niż 1023 |
6972 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
HTTP |
TCP |
Klient Jabber |
CUCxn |
Większe niż 1023 |
7080 |
Powiadomienia poczty głosowej |
Protokół HTTPS |
TCP |
Klient Jabber |
CUCxn |
Większe niż 1023 |
7443 |
Bezpieczne powiadomienia poczty głosowej |
Protokół HTTPS |
TCP |
Unified CM |
Unified CM |
Większe niż 1023 |
7501 |
Używany przez usługę Intercluster Lookup Service (ILS) do uwierzytelniania opartego na certyfikatach |
Protokół HTTPS |
TCP |
Unified CM |
Unified CM |
Większe niż 1023 |
7502 |
Używany przez ILS do uwierzytelniania opartego na hasłach |
IMAP |
TCP |
Klient Jabber |
CUCxn |
Większe niż 1023 |
7993 |
IMAP przez TLS |
Protokół HTTPS |
TCP |
Przeglądarka, Punkt końcowy |
Aplikacje UC |
Większe niż 1023 |
8443 |
Dostęp do sieci dla interfejsów samoobsługowych i administracyjnych, UDS |
Protokół HTTPS |
TCP |
Prem |
Unified CM |
Większe niż 1023 |
9443 |
Wyszukiwanie uwierzytelnionych kontaktów |
Bezpieczne RTP/SRTP |
UDP |
Unified CM |
Telefon |
od 16384 do 32767 * |
od 16384 do 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling) |
Bezpieczne RTP/SRTP |
UDP |
Telefon |
Unified CM |
od 16384 do 32767 * |
od 16384 do 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Open based on call signaling) |
ICMP |
ICMP |
Punkt końcowy |
Aplikacje UC |
nd. |
nd. |
Ping |
ICMP |
ICMP |
Aplikacje UC |
Punkt końcowy |
nd. |
nd. |
Ping |
* Niektóre szczególne przypadki mogą korzystać z większego zakresu. |
Dedykowana instancja – porty OTT
Poniższa lista portów może być używana przez klientów i partnerów do konfiguracji dostępu mobilnego i zdalnego (MRA):
Protokół |
Protokół TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
BEZPIECZNY SIP |
TCP |
Punkt końcowy |
Droga ekspresowa E |
Większe niż 1023 |
5061 |
Bezpieczna sygnalizacja SIP Do rejestracji MRA i połączeń |
BEZPIECZNY SIP |
TCP |
Punkt końcowy/serwer |
Droga ekspresowa E |
Większe niż 1023 |
5062 |
Bezpieczny SIP dla połączeń B2B |
BEZPIECZNE RTP/RTCP |
UDP |
Punkt końcowy/serwer |
Droga ekspresowa E |
Większe niż 1023 |
36000-59999 |
Bezpieczne multimedia dla połączeń MRA i B2B |
HTTPS (BEZPIECZNY) |
TLS |
Klient |
Droga ekspresowa E |
Większe niż 1023 |
8443 |
CUCM UDS i CUCxn REST dla połączeń MRA |
XmlS |
TLS |
Klient |
Droga ekspresowa E |
Większe niż 1023 |
5222 |
Wiadomości błyskawiczne i obecność |
SKRĘCIĆ |
UDP |
Klient ICE |
Droga ekspresowa E |
Większe niż 1023 |
3478 |
Negocjacje ICE/STUN/TURN |
BEZPIECZNE RTP/RTCP |
UPD |
Klient ICE |
Droga ekspresowa E |
Większe niż 1023 |
24000-29999 |
Nośniki TURN dla ICE rezerwowych |
Dedykowana instancja – porty UCCX
Poniższa lista portów może być używana przez klientów i partnerów do konfigurowania UCCX.
Protokół |
TCP / UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
Protokół SSH |
TCP |
Klient |
UCCX |
Większe niż 1023 |
22 |
SFTP i SSH |
Informix |
TCP |
Klient lub serwer |
UCCX |
Większe niż 1023 |
1504 |
Ujednolicony port bazy danych CCX |
SIP |
UDP i TCP |
Serwer SIP GW lub MCRP |
UCCX |
Większe niż 1023 |
5065 |
Komunikacja ze zdalnymi węzłami GW i MCRP |
XMPP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
5223 |
Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm |
Życiorys |
TCP |
Klient |
UCCX |
Większe niż 1023 |
6999 |
Edytor do aplikacji CCX |
Protokół HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
7443 |
Bezpieczne połączenie BOSH między serwerem Finesse a pulpitami agentów i nadzorców do komunikacji za pośrednictwem protokołu HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8080 |
Klienci raportowania danych na żywo łączą się z gniazdem. Serwer IO |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8081 |
Przeglądarka klienta próbująca uzyskać dostęp do interfejsu internetowego Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8443 |
Admin GUI, RTMT, DB dostęp przez SOAP |
Protokół HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8444 |
Interfejs sieciowy Cisco Unified Intelligence Center |
Protokół HTTPS |
TCP |
Przeglądarka i klienci REST |
UCCX |
Większe niż 1023 |
8445 |
Bezpieczny port dla Finezji |
Protokół HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8447 |
HTTPS - Unified Intelligence Center — pomoc online |
Protokół HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
8553 |
Składniki logowania jednokrotnego (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan operacyjny usługi Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
9080 |
Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów / monitów / gramatyki / danych na żywo. |
Protokół HTTPS |
TCP |
Klient |
UCCX |
Większe niż 1023 |
9443 |
Bezpieczny port używany do reagowania na klientów próbujących uzyskać dostęp do wyzwalaczy HTTPS |
TCP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12014 |
Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO |
TCP |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12015 |
Jest to port, w którym klienci raportowania danych na żywo mogą łączyć się z gniazdem. Serwer IO |
CTI |
TCP |
Klient |
UCCX |
Większe niż 1023 |
12028 |
Zewnętrzny klient CTI do CCX |
RTP(Media) |
TCP |
Punkt końcowy |
UCCX |
Większe niż 1023 |
Większe niż 1023 |
Port multimediów jest otwierany dynamicznie w razie potrzeby |
RTP(Media) |
TCP |
Klient |
Punkt końcowy |
Większe niż 1023 |
Większe niż 1023 |
Port multimediów jest otwierany dynamicznie w razie potrzeby |
Bezpieczeństwo klienta
Zabezpieczanie Jabber i Webex za pomocą SIP OAuth
Klienci Jabber i Webex są uwierzytelniani za pomocą tokenu OAuth zamiast lokalnie istotnego certyfikatu (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikacji (CAPF) (również dla MRA). SIP OAuth pracujący z trybem mieszanym lub bez niego został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
W Cisco Unified CM 12.5 mamy nową opcję w Profilu zabezpieczeń telefonu, która umożliwia szyfrowanie bez LSC/CAPF, przy użyciu pojedynczego protokołu Transport Layer Security (TLS) + OAuth token w SIP REGISTER. Węzły Expressway-C używają interfejsu API Administrative XML Web Service (AXL) do informowania Cisco Unified CM o SN/SAN w swoim certyfikacie. Cisco Unified CM używa tych informacji do sprawdzania poprawności certyfikatu Exp-C podczas ustanawiania wzajemnego połączenia TLS.
SIP OAuth umożliwia szyfrowanie nośników i sygnalizacji bez certyfikatu punktu końcowego (LSC).
Cisco Jabber używa portów efemerycznych i bezpiecznych portów 6971 i 6972 za pośrednictwem połączenia HTTPS z serwerem TFTP do pobierania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania przez HTTP.
Więcej szczegółów na temat konfiguracji SIP OAuth: TrybSIP OAuth.
Wymagania DNS
W przypadku wystąpienia dedykowanego Cisco udostępnia nazwę FQDN usługi w każdym regionie w następującym formacie <customer><region>. wxc-di.webex.com przykład xyz.amer.wxc-di.webex.com.
Wartość "klient" jest podawana przez administratora w ramach Kreatora instalacji po raz pierwszy (FTSW). Aby uzyskać więcej informacji, zobacz Aktywacjausługi dedykowanego wystąpienia.
Rekordy DNS dla tej nazwy FQDN muszą być rozpoznawane z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z wystąpieniem dedykowanym. Aby ułatwić rozwiązanie, klient musi skonfigurować usługę warunkowego przesyłania dalej dla tej nazwy FQDN na swoim serwerze DNS wskazującym usługę DNS dedykowanego wystąpienia. Usługa DNS dedykowanego wystąpienia jest regionalna i można się z nią skontaktować za pośrednictwem komunikacji równorzędnej z wystąpieniem dedykowanym przy użyciu następujących adresów IP wymienionych w poniższej tabeli AdresIP usługi DNS dedykowanego wystąpienia.
Region/DC |
Adres IP usługi DNS dedykowanego wystąpienia | Przykład przekazywania warunkowego |
---|---|---|
AMER |
<customer>amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
APJC |
<customer>apjc.wxc-di.webex.com |
|
TOK |
103.232.71.100 |
|
GRZECH |
103.232.71.228 |
|
AUS |
<customer>aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Opcja ping jest wyłączona dla wyżej wymienionych adresów IP serwera DNS ze względów bezpieczeństwa. |
Dopóki nie zostanie wprowadzone przekazywanie warunkowe, urządzenia nie będą mogły zarejestrować się w dedykowanej instancji z sieci wewnętrznej klienta za pośrednictwem łączy peeringowych. Przekazywanie warunkowe nie jest wymagane do rejestracji za pośrednictwem usługi Dostęp mobilny i zdalny (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS w celu ułatwienia mrA będą wstępnie aprowizowane przez Cisco.
W przypadku korzystania z aplikacji Webex jako klienta programowego wywołującego w wystąpieniu dedykowanym profil UC Manager musi być skonfigurowany w centrum sterowania dla domeny usługi głosowej (VSD) każdego regionu. Więcej informacji można znaleźć w sekcji Uc Manager Profiles in Cisco Webex Control Hub. Aplikacja Webex będzie w stanie automatycznie rozwiązać problem z drogą ekspresową klienta bez interwencji użytkownika końcowego.
Domena usługi głosowej zostanie dostarczona klientowi jako część dokumentu dostępu dla partnerów po zakończeniu aktywacji usługi. |
Odwołania
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), temat dotyczący zabezpieczeń: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Przewodnik po zabezpieczeniach dla programu Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html