- Strona główna
- /
- Artykuł
Wymagania dotyczące sieci i bezpieczeństwa dla rozwiązania dedykowanego wystąpienia to warstwowe podejście do funkcji i funkcji zapewniających bezpieczny dostęp fizyczny, sieć, punkty końcowe i aplikacje Cisco UC. Opisuje wymagania sieciowe i wymienia adresy, porty i protokoły używane do łączenia punktów końcowych z usługami.
Wymagania sieciowe dla dedykowanego wystąpienia
Dedykowane wystąpienie Webex Calling jest częścią portfolio Cisco Cloud Calling, wspieranego przez technologię współpracy Cisco Unified Communications Manager (Cisco Unified CM). Dedykowane wystąpienie oferuje rozwiązania głosowe, wideo, wiadomości i mobilności z funkcjami i korzyściami telefonów IP Cisco, urządzeń mobilnych i klientów stacjonarnych, które bezpiecznie łączą się z dedykowanym wystąpieniem.
Ten artykuł jest przeznaczony dla administratorów sieci, w szczególności administratorów zapory i zabezpieczeń serwera proxy, którzy chcą korzystać z dedykowanego wystąpienia w swojej organizacji.
Przegląd zabezpieczeń: Bezpieczeństwo w warstwach
Dedykowane wystąpienie wykorzystuje warstwowe podejście do bezpieczeństwa. Warstwy obejmują:
-
Dostęp fizyczny
-
Sieć
-
Punkty końcowe
-
Aplikacje UC
W poniższych sekcjach opisano warstwy zabezpieczeń w wdrożeniach dedykowanego wystąpienia.
Bezpieczeństwo fizyczne
Ważne jest zapewnienie fizycznego bezpieczeństwa lokalizacjom Equinix Meet-Me Room i obiektom Cisco Dedicated Instance Data Center. Gdy bezpieczeństwo fizyczne jest zagrożone, można zainicjować proste ataki, takie jak zakłócenie obsługi poprzez wyłączenie zasilania przełączników klienta. Dzięki fizycznemu dostępowi atakujący mogli uzyskać dostęp do urządzeń serwera, zresetować hasła i uzyskać dostęp do przełączników. Fizyczny dostęp ułatwia również bardziej wyrafinowane ataki, takie jak ataki man-in-the-middle, dlatego druga warstwa bezpieczeństwa, bezpieczeństwo sieci, jest krytyczna.
Napędy Self-Encrypting są używane w dedykowanych centrach danych wystąpień, które obsługują aplikacje UC.
Więcej informacji na temat ogólnych praktyk bezpieczeństwa można znaleźć w dokumentacji w następującej lokalizacji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Bezpieczeństwo sieci
Partnerzy muszą zapewnić, że wszystkie elementy sieci są zabezpieczone w infrastrukturze dedykowanego wystąpienia (która łączy się poprzez Equinix). Do obowiązków partnera należy zapewnienie najlepszych praktyk w zakresie bezpieczeństwa, takich jak:
-
Oddzielna sieć VLAN dla połączeń głosowych i danych
-
Włącz Zabezpieczenia portów, które ograniczają liczbę dozwolonych adresów MAC na port, przed zalaniem tabeli CAM
-
Osłona źródła IP przed zepsutymi adresami IP
-
Dynamiczna Inspekcja ARP (DAI) bada protokół rozwiązywania problemów (ARP) i bezinteresowny ARP (GARP) w przypadku naruszeń (w przypadku ARP spoofing)
-
802.1x ogranicza dostęp do sieci do uwierzytelniania urządzeń w przypisanych sieciach VLAN (telefony obsługują protokół 802.1x)
-
Konfiguracja jakości usług (QoS) w celu odpowiedniego oznakowania pakietów głosowych
-
Konfiguracje portów zapory w celu zablokowania innego ruchu
Bezpieczeństwo punktów końcowych
Punkty końcowe Cisco obsługują domyślne funkcje zabezpieczeń, takie jak podpisane oprogramowanie sprzętowe, bezpieczne rozruch (wybrane modele), certyfikat instalowany przez producenta (MIC) oraz podpisane pliki konfiguracyjne, które zapewniają określony poziom bezpieczeństwa punktów końcowych.
Dodatkowo partner lub klient może włączyć dodatkowe zabezpieczenia, takie jak:
-
Szyfrowanie usług telefonicznych IP (za pośrednictwem HTTPS) dla usług takich jak Extension Mobility
-
Wydawanie certyfikatów o znaczeniu lokalnym (LSC) z funkcji proxy urzędu certyfikacji (CAPF) lub publicznego urzędu certyfikacji (CA)
-
Szyfrowanie plików konfiguracyjnych
-
Szyfrowanie multimediów i sygnalizacji
-
Wyłącz te ustawienia, jeśli nie są używane: port komputera, dostęp do sieci VLAN głosowej komputera, dostęp do sieci WWW, przycisk ustawień, SSH, konsola
Wdrożenie mechanizmów zabezpieczeń w dedykowanym wystąpieniu zapobiega kradzieży tożsamości telefonów i serwera Unified CM, manipulowaniu danymi oraz manipulowaniu sygnalizacją połączeń / strumieniem multimedialnym.
Dedykowane wystąpienie w sieci:
-
Ustanawia i utrzymuje uwierzytelnione strumienie komunikacji
-
Digitalnie podpisuje pliki przed przeniesieniem pliku do telefonu
-
Szyfruje strumienie multimediów i sygnalizację połączeń między telefonami IP Cisco Unified
Domyślnie zabezpieczenia zapewniają następujące automatyczne funkcje zabezpieczeń telefonów IP Cisco Unified:
-
Podpisanie plików konfiguracyjnych telefonu
-
Obsługa szyfrowania plików konfiguracji telefonu
-
HTTPS z Tomcat i innymi usługami sieciowymi (MIDlets)
W przypadku wersji 8.0 Unified CM później te funkcje zabezpieczeń są domyślnie dostarczane bez uruchamiania klienta listy zaufanych certyfikatów (CTL).
Usługa weryfikacji zaufaniaPonieważ w sieci jest duża liczba telefonów, a telefony IP mają ograniczoną pamięć, Cisco Unified CM działa jako zdalny sklep zaufania za pośrednictwem usługi weryfikacji zaufania (TVS), dzięki czemu sklep zaufania certyfikatów nie musi być umieszczony na każdym telefonie. Telefony IP Cisco kontaktują się z serwerem TVS w celu weryfikacji, ponieważ nie mogą zweryfikować podpisu ani certyfikatu za pośrednictwem plików CTL lub ITL. Posiadanie centralnego sklepu zaufania jest łatwiejsze do zarządzania niż posiadanie sklepu zaufania na każdym telefonie IP Cisco Unified.
TVS umożliwia telefonom IP Cisco Unified uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet, podczas zakładania protokołu HTTPS.
Wstępna lista zaufaniaPlik Initial Trust List (ITL) jest używany do wstępnego zabezpieczenia, dzięki czemu punkty końcowe mogą zaufać Cisco Unified CM. ITL nie wymaga wyraźnego włączenia żadnych funkcji zabezpieczeń. Plik ITL jest automatycznie tworzony po zainstalowaniu klastra. Klucz prywatny serwera Unified CM Trivial File Transfer Protocol (TFTP) służy do podpisania pliku ITL.
Gdy klaster lub serwer Cisco Unified CM jest w trybie niezabezpieczonym, plik ITL jest pobierany na każdym obsługiwanym telefonie IP Cisco. Partner może wyświetlić zawartość pliku ITL za pomocą polecenia CLI admin:show itl.
Telefony IP Cisco potrzebują pliku ITL, aby wykonać następujące zadania:
-
Bezpiecznie komunikuj się z CAPF, co jest warunkiem koniecznym do obsługi szyfrowania plików konfiguracyjnych
-
Uwierzytelnij podpis pliku konfiguracyjnego
-
Uwierzytelnianie serwerów aplikacji, takich jak usługi EM, katalog i MIDlet podczas zakładania HTTPS za pomocą TVS
Uwierzytelnianie urządzeń, plików i sygnalizacji polega na utworzeniu pliku listy zaufanych certyfikatów (CTL), który jest tworzony, gdy partner lub klient instaluje i konfiguruje klienta listy zaufanych certyfikatów Cisco.
Plik CTL zawiera wpisy dla następujących serwerów lub tokenów zabezpieczeń:
-
Token zabezpieczeń administratora systemu (SAST)
-
Usługi Cisco CallManager i Cisco TFTP uruchomione na tym samym serwerze
-
Funkcja proxy urzędu certyfikacji (CAPF)
-
Serwer(y) TFTP
-
Zapora sieciowa ASA
Plik CTL zawiera certyfikat serwera, klucz publiczny, numer seryjny, podpis, nazwę emitenta, nazwę podmiotu, funkcję serwera, nazwę DNS i adres IP każdego serwera.
Zabezpieczenia telefonu za pomocą CTL zapewniają następujące funkcje:
-
Uwierzytelnianie pobranych plików TFTP (konfiguracja, lokalizacja, lista dzwonków itd.) przy użyciu klucza do podpisania
-
Szyfrowanie plików konfiguracyjnych TFTP przy użyciu klucza do podpisania
-
Zaszyfrowana sygnalizacja połączeń dla telefonów IP
-
Szyfrowany dźwięk połączenia (nośnik) dla telefonów IP
Dedykowane wystąpienie zapewnia rejestrację punktu końcowego i przetwarzanie połączeń. Sygnalizacja między Cisco Unified CM a punktami końcowymi oparta jest na Secure Skinny Client Control Protocol (SCCP) lub Session Initiation Protocol (SIP) i może być szyfrowana przy użyciu Transport Layer Security (TLS). Media z/do punktów końcowych są oparte na protokole RTP (Real-time Transport Protocol) i mogą być również szyfrowane za pomocą Secure RTP (SRTP).
Włączenie trybu mieszanego w systemie Unified CM umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z punktów końcowych Cisco i do nich.
Bezpieczne aplikacje UC
Włączanie trybu mieszanego w dedykowanym wystąpieniuTryb mieszany jest domyślnie włączony w dedykowanym wystąpieniu.
Włączenie trybu mieszanego w dedykowanym wystąpieniu umożliwia szyfrowanie ruchu sygnalizacyjnego i multimedialnego z punktów końcowych Cisco i do nich.
W wersji 12.5(1) Cisco Unified CM dodano nową opcję włączania szyfrowania sygnalizacji i multimediów w oparciu o protokół SIP OAuth zamiast trybu mieszanego / CTL dla klientów Jabber i Webex. Dlatego w wersji Unified CM 12.5(1), SIP OAuth i SRTP mogą być używane do włączania szyfrowania sygnalizacji i multimediów dla klientów Jabber lub Webex. Włączenie trybu mieszanego jest nadal wymagane w przypadku telefonów IP Cisco i innych punktów końcowych Cisco. Istnieje plan dodania wsparcia dla SIP OAuth w punktach końcowych 7800/8800 w przyszłej wersji.
Bezpieczeństwo wiadomości głosowychCisco Unity Connection łączy się z Unified CM za pośrednictwem portu TLS. Gdy tryb zabezpieczeń urządzenia nie jest zabezpieczony, system Cisco Unity Connection łączy się z systemem Unified CM za pośrednictwem portu SCCP.
Aby skonfigurować zabezpieczenia dla portów wiadomości głosowych Unified CM i urządzeń Cisco Unity z systemem SCCP lub urządzeń Cisco Unity Connection z systemem SCCP, partner może wybrać tryb zabezpieczeń bezpiecznego urządzenia dla portu. Jeśli wybierzesz uwierzytelniony port poczty głosowej, otworzy się połączenie TLS, które uwierzytelnia urządzenia za pomocą wzajemnej wymiany certyfikatów (każde urządzenie akceptuje certyfikat innego urządzenia). Jeśli wybierzesz zaszyfrowany port poczty głosowej, system najpierw uwierzytelnia urządzenia, a następnie wysyła zaszyfrowane strumienie głosowe między urządzeniami.
Więcej informacji na temat bezpiecznych portów wiadomości głosowych można znaleźć na stronie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified SU1_chapter_010001.html
Bezpieczeństwo dla SRST, magistrali, bram, CUBE/SBC
Włączona brama Cisco Unified Survivable Remote Site Telephony (SRST) zapewnia ograniczone zadania przetwarzania połączeń, jeśli Cisco Unified CM w dedykowanym wystąpieniu nie może zakończyć połączenia.
Zabezpieczone bramy z obsługą SRST zawierają samodzielnie podpisany certyfikat. Po wykonaniu przez partnera zadań konfiguracji SRST w Unified CM Administration, Unified CM używa połączenia TLS do uwierzytelniania za pomocą usługi dostawcy certyfikatów w bramie z obsługą SRST. Następnie Unified CM pobiera certyfikat z bramy SRST i dodaje go do bazy danych Unified CM.
Po zresetowaniu przez partnera zależnych urządzeń w Unified CM Administration serwer TFTP dodaje certyfikat bramy z obsługą SRST do pliku cnf.xml telefonu i wysyła plik do telefonu. Bezpieczny telefon używa połączenia TLS do interakcji z bramą z obsługą SRST.
Zaleca się posiadanie bezpiecznych łączy magistralowych dla połączeń pochodzących z Cisco Unified CM do bramy dla wychodzących połączeń PSTN lub przechodzących przez Cisco Unified Border Element (CUBE).
Pręty SIP mogą obsługiwać bezpieczne połączenia zarówno dla sygnalizacji, jak i multimediów; TLS zapewnia szyfrowanie sygnalizacji, a SRTP zapewnia szyfrowanie multimediów.
Zabezpieczenie komunikacji między Cisco Unified CM a CUBE
W celu zapewnienia bezpiecznej komunikacji między Cisco Unified CM a CUBE partnerzy/klienci muszą używać certyfikatów podpisanych samodzielnie lub certyfikatów podpisanych przez urząd certyfikacji.
W przypadku certyfikatów podpisanych samodzielnie:
-
CUBE i Cisco Unified CM generują samodzielnie podpisane certyfikaty
-
Certyfikat eksportu CUBE do Cisco Unified CM
-
Certyfikat eksportu Cisco Unified CM do CUBE
W przypadku certyfikatów podpisanych przez CA:
-
Klient generuje parę kluczy i wysyła żądanie podpisania certyfikatu (CSR) do urzędu certyfikacji (CA)
-
CA podpisuje go kluczem prywatnym, tworząc certyfikat tożsamości
-
Klient instaluje listę zaufanych certyfikatów głównych i pośrednich urzędu certyfikacji oraz certyfikat tożsamości
Bezpieczeństwo zdalnych punktów końcowych
Dzięki punktom końcowym dostępu mobilnego i zdalnego (MRA) sygnalizacja i nośnik są zawsze szyfrowane między punktami końcowymi MRA a węzłami Expressway. Jeśli protokół ICE (ang. Interactive Connectivity Establishment) jest używany dla punktów końcowych MRA, wymagana jest sygnalizacja i szyfrowanie multimediów punktów końcowych MRA. Jednak szyfrowanie sygnalizacji i multimediów między Expressway-C a wewnętrznymi serwerami Unified CM, wewnętrznymi punktami końcowymi lub innymi urządzeniami wewnętrznymi wymaga trybu mieszanego lub SIP OAuth.
Cisco Expressway zapewnia bezpieczną obsługę przechodzenia przez zaporę i po stronie linii dla rejestracji Unified CM. Unified CM zapewnia sterowanie połączeniami zarówno dla mobilnych, jak i lokalnych punktów końcowych. Sygnalizacja przechodzi przez rozwiązanie Expressway między zdalnym punktem końcowym a Unified CM. Media przechodzi przez rozwiązanie Expressway i jest przekazywany bezpośrednio między punktami końcowymi. Wszystkie media są szyfrowane między Expressway-C a mobilnym punktem końcowym.
Każde rozwiązanie MRA wymaga usługi Expressway i Unified CM z klientami miękkimi zgodnymi z MRA i/lub stałymi punktami końcowymi. Opcjonalnie rozwiązanie może obejmować usługę IM and Presence Service oraz system Unity Connection.
Podsumowanie protokołu
W poniższej tabeli przedstawiono protokoły i powiązane usługi stosowane w rozwiązaniu Unified CM.
Protokół |
Zabezpieczenia |
Usługa |
---|---|---|
SIP |
TLS |
Ustanowienie sesji: Zarejestruj się, Zaproś itp. |
HTTPS |
TLS |
Logowanie, obsługa administracyjna/konfiguracja, książka telefoniczna, wizualna poczta głosowa |
Multimedia |
SRTP |
Nośnik: Audio, wideo, udostępnianie treści |
XMPP |
TLS |
Wiadomości błyskawiczne, Obecność, Federacja |
Aby uzyskać więcej informacji na temat konfiguracji MRA, zobacz: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcje konfiguracji
Dedykowane wystąpienie zapewnia Partnerowi elastyczność w dostosowywaniu usług dla użytkowników końcowych poprzez pełną kontrolę nad dwiema konfiguracjami dnia. W rezultacie Partner ponosi wyłączną odpowiedzialność za prawidłową konfigurację usługi dedykowanego wystąpienia dla środowiska użytkownika końcowego. Obejmuje to między innymi:
-
Wybór połączeń zabezpieczonych/niezabezpieczonych, protokołów zabezpieczonych/niezabezpieczonych, takich jak SIP/sSIP, http/https itp. oraz zrozumienie wszelkich powiązanych zagrożeń.
-
W przypadku wszystkich adresów MAC, które nie zostały skonfigurowane jako bezpieczne-SIP w dedykowanym wystąpieniu, atakujący może wysłać komunikat SIP Register przy użyciu tego adresu MAC i być w stanie wykonywać połączenia SIP, co skutkuje oszustwami płatnymi. Najistotniejsze jest to, że atakujący może zarejestrować swoje urządzenie/oprogramowanie SIP do dedykowanego wystąpienia bez autoryzacji, jeśli zna adres MAC urządzenia zarejestrowanego w dedykowanym wystąpieniu.
-
Zasady połączeń Expressway-E, zasady przekształcania i wyszukiwania powinny być skonfigurowane tak, aby zapobiegać oszustwom związanym z opłatami. Więcej informacji na temat zapobiegania oszustwom związanym z pobieraniem opłat za pośrednictwem usługi Expressways można znaleźć w sekcji Security for Expressway C i Expressway-E Collaboration SRND.
-
Konfiguracja planu wybierania w celu zapewnienia użytkownikom możliwości wybierania tylko miejsc docelowych, które są dozwolone, np. zakazanie wybierania połączeń krajowych/międzynarodowych, prawidłowe kierowanie połączeń alarmowych itp. Więcej informacji na temat stosowania ograniczeń przy użyciu planu wybierania można znaleźć w sekcji Plan wybierania w programie Collaboration SRND.
Wymagania certyfikatu dotyczące bezpiecznych połączeń w dedykowanym wystąpieniu
W przypadku dedykowanego wystąpienia firma Cisco dostarczy domenę i podpisze wszystkie certyfikaty aplikacji UC za pomocą publicznego urzędu certyfikacji.
Dedykowane wystąpienie — numery portów i protokoły
W poniższych tabelach opisano porty i protokoły obsługiwane w dedykowanym wystąpieniu. Porty używane dla danego klienta zależą od jego wdrożenia i rozwiązania. Protokoły zależą od preferencji klienta (SCCP vs SIP), istniejących urządzeń lokalnych oraz poziomu bezpieczeństwa określającego, które porty mają być używane w każdym wdrożeniu.
Dedykowane wystąpienie nie zezwala na tłumaczenie adresów sieciowych (NAT) między punktami końcowymi a usługą Unified CM, ponieważ niektóre funkcje przepływu połączeń nie będą działać, na przykład funkcja pośredniego połączenia. |
Dedykowane wystąpienie — porty klientów
Porty dostępne dla klientów – pomiędzy lokalnym klientem a dedykowanym wystąpieniem są przedstawione w tabeli 1 Porty klientów dedykowanym wystąpieniem. Wszystkie porty wymienione poniżej dotyczą ruchu klientów przechodzących przez łącza równorzędne.
Port SNMP jest domyślnie otwarty tylko dla programu Cisco Emergency Responder w celu obsługi jego funkcji. Ponieważ nie obsługujemy partnerów ani klientów monitorujących aplikacje UC wdrożone w chmurze dedykowanego wystąpienia, nie zezwalamy na otwieranie portu SNMP dla innych aplikacji UC. |
Porty w zakresie od 5063 do 5080 są zarezerwowane przez firmę Cisco dla innych integracji z chmurą, zaleca się, aby administratorzy partnerów lub klientów nie używali tych portów w swoich konfiguracjach. |
Protokół |
TCP/UDP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
Aplikacje UC
|
Większy niż 1023 |
22 Pr |
Administrowanie |
||
TFTP |
UDP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
69 69 |
Starsze wsparcie punktu końcowego |
||
LDAP |
TCP |
Aplikacje UC |
Zewnętrzna książka telefoniczna |
Większy niż 1023 |
389 |
Synchronizacja katalogu z usługą LDAP klienta |
||
HTTPS |
TCP |
Przeglądarka |
Aplikacje UC |
Większy niż 1023 |
443 |
Dostęp internetowy dla interfejsów samoobsługowych i administracyjnych |
||
Poczta wychodząca (BEZPIECZNA) |
TCP |
Aplikacja UC |
CUCxn |
Większy niż 1023 |
587 |
Służy do tworzenia i wysyłania bezpiecznych wiadomości do wyznaczonych odbiorców |
||
LDAP (BEZPIECZNE) |
TCP |
Aplikacje UC |
Zewnętrzna książka telefoniczna |
Większy niż 1023 |
636 |
Synchronizacja katalogu z usługą LDAP klienta |
||
H323 |
TCP |
Brama |
Unified CM |
Większy niż 1023 |
1720 |
Sygnalizacja połączenia |
||
H323 |
TCP |
Unified CM |
Unified CM |
Większy niż 1023 |
1720 |
Sygnalizacja połączenia |
||
SCCP |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większy niż 1023 |
2000 r. |
Sygnalizacja połączenia |
||
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Większy niż 1023 |
2000 r. |
Sygnalizacja połączenia |
||
MGCP |
UDP |
Brama |
Brama |
Większy niż 1023 |
2427 |
Sygnalizacja połączenia |
||
MGCP Backhaul |
TCP |
Brama |
Unified CM |
Większy niż 1023 |
2428 |
Sygnalizacja połączenia |
||
SCCP (BEZPIECZNE) |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większy niż 1023 |
2443 |
Sygnalizacja połączenia |
||
SCCP (BEZPIECZNE) |
TCP |
Unified CM |
Unified CM, Gateway |
Większy niż 1023 |
2443 |
Sygnalizacja połączenia |
||
Weryfikacja zaufania |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
2445 |
Świadczenie usług weryfikacji zaufania dla punktów końcowych |
||
CTI |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
2748 |
Połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager |
||
Bezpieczny CTI |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
2749 |
Bezpieczne połączenie między aplikacjami CTI (JTAPI/TSP) a CTIManager |
||
Globalny katalog LDAP |
TCP |
Aplikacje UC |
Zewnętrzna książka telefoniczna |
Większy niż 1023 |
3268 |
Synchronizacja katalogu z usługą LDAP klienta |
||
Globalny katalog LDAP |
TCP |
Aplikacje UC |
Zewnętrzna książka telefoniczna |
Większy niż 1023 |
3269 |
Synchronizacja katalogu z usługą LDAP klienta |
||
Usługa CAPF |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
3804 |
Port odsłuchowy funkcji proxy urzędu certyfikacji (CAPF) do wydawania certyfikatów o znaczeniu lokalnym (LSC) dla telefonów IP |
||
SIP |
TCP |
Punkt końcowy |
Unified CM, CUCxn |
Większy niż 1023 |
5060 |
Sygnalizacja połączenia |
||
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Większy niż 1023 |
5060 |
Sygnalizacja połączenia |
||
SIP (SECURE) |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
5061 |
Sygnalizacja połączenia |
||
SIP (SECURE) |
TCP |
Unified CM |
Unified CM, Gateway |
Większy niż 1023 |
5061 |
Sygnalizacja połączenia |
||
SIP (OAUTH) |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
5090 |
Sygnalizacja połączenia |
||
XMPP |
TCP |
Jabber Client |
Cisco IM&P |
Większy niż 1023 |
5222 |
Wiadomości błyskawiczne i obecność |
||
HTTP |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
6970 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
||
HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
6971 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
||
HTTPS |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
6972 |
Pobieranie konfiguracji i obrazów do punktów końcowych |
||
HTTP |
TCP |
Jabber Client |
CUCxn |
Większy niż 1023 |
7080 |
Powiadomienia poczty głosowej |
||
HTTPS |
TCP |
Jabber Client |
CUCxn |
Większy niż 1023 |
7443 |
Bezpieczne powiadomienia poczty głosowej |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Większy niż 1023 |
7501 |
Używany przez usługę wyszukiwania międzyklastrowego (ILS) do uwierzytelniania opartego na certyfikatach |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Większy niż 1023 |
7502 |
Używany przez ILS do uwierzytelniania opartego na hasłach |
||
IMAP |
TCP |
Jabber Client |
CUCxn |
Większy niż 1023 |
7993 |
IMAP przez TLS |
||
HTTP |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
8080 |
Identyfikator URI katalogu dla obsługi starszych punktów końcowych |
||
HTTPS |
TCP |
Przeglądarka, punkt końcowy |
Aplikacje UC |
Większy niż 1023 |
8443 |
Dostęp internetowy dla interfejsów samoobsługowych i administracyjnych, UDS |
||
HTTPS |
TCP |
Telefon |
Unified CM |
Większy niż 1023 |
9443 |
Uwierzytelnione wyszukiwanie kontaktów |
||
HTTPs |
TCP |
Punkt końcowy |
Unified CM |
Większy niż 1023 |
9444 |
Funkcja zarządzania zestawami słuchawkowymi |
||
Bezpieczne RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Otwarte na podstawie sygnalizacji połączenia) |
||
Bezpieczne RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (Otwarte na podstawie sygnalizacji połączenia) |
||
KOBRAKI |
TCP |
Klient |
CUCxn |
Większy niż 1023 |
20532 |
Kopia zapasowa i przywracanie pakietu aplikacji |
||
ICMP |
ICMP |
Punkt końcowy |
Aplikacje UC |
nd. |
nd. |
Ping |
||
ICMP |
ICMP |
Aplikacje UC |
Punkt końcowy |
nd. |
nd. |
Ping |
||
DNS | UDP i TCP |
Spedytor DNS |
Serwery DNS dedykowanego wystąpienia |
Większy niż 1023 |
53 |
Przekazywanie DNS przez klienta do serwerów DNS dedykowanego wystąpienia. Aby uzyskać więcej informacji, zobacz wymagania DNS. |
||
* Niektóre specjalne przypadki mogą korzystać z większego zakresu. |
Dedykowane wystąpienie – porty OTT
Następujący port może być używany przez klientów i partnerów w konfiguracji MRA (Mobile and Remote Access):
Protokół |
TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
ZABEZPIECZENIE RTP/RTCP |
UDP |
Expressway C |
Klient |
Większy niż 1023 |
36000-59999 |
Bezpieczne media dla połączeń MRA i B2B |
Interop łącza magistralowego SIP między Multitenant a Dedicated Instance (tylko dla łącza magistralowego opartego na rejestracji)
Na zaporze klienta należy zezwolić na następującą listę portów w celu nawiązania połączenia magistralowego SIP opartego na rejestracji między Multitenant a Dedicated Instance.
Protokół |
TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multitenant Webex Calling |
Klient |
Większy niż 1023 |
8000–48198 |
Media od Multitenant Webex Calling |
Dedykowane wystąpienie – porty UCCX
Poniższa lista portów może być używana przez Klientów i Partnerów do konfigurowania UCCX.
Protokół |
TCP/UCP |
Źródło |
Miejsce docelowe |
Port źródłowy |
Port docelowy |
Cel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Większy niż 1023 |
22 Pr |
SFTP i SSH |
Informix |
TCP |
Klient lub serwer |
UCCX |
Większy niż 1023 |
1504 |
Port bazy danych Contact Center Express |
SIP |
UDP i TCP |
Serwer GW SIP lub MCRP |
UCCX |
Większy niż 1023 |
5065 |
Komunikacja ze zdalnymi węzłami GW i MCRP |
XMPP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
5223 |
Bezpieczne połączenie XMPP między serwerem Finesse a niestandardowymi aplikacjami innych firm |
CVD |
TCP |
Klient |
UCCX |
Większy niż 1023 |
6999 |
Edytor do aplikacji CCX |
HTTPS |
TCP |
Klient |
UCCX |
Większy niż 1023 |
7443 |
Zabezpieczenie połączenia BOSH między serwerem Finesse a komputerami agenta i nadzorcy w celu komunikacji za pośrednictwem protokołu HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8080 |
Klienci raportujący dane na żywo łączą się z serwerem socket.IO |
HTTP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8081 |
Przeglądarka klienta próbująca uzyskać dostęp do interfejsu internetowego Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8443 |
Admin GUI, RTMT, dostęp DB przez SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8444 |
Interfejs WWW Cisco Unified Intelligence Center |
HTTPS |
TCP |
Przeglądarka i klienci REST |
UCCX |
Większy niż 1023 |
8445 |
Bezpieczny port dla Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8447 |
HTTPS - Unified Intelligence Center pomoc online |
HTTPS |
TCP |
Klient |
UCCX |
Większy niż 1023 |
8553 |
Komponenty jednokrotnego logowania (SSO) uzyskują dostęp do tego interfejsu, aby poznać stan działania Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
9080 |
Klienci próbujący uzyskać dostęp do wyzwalaczy HTTP lub dokumentów / monitów / gramatyki / danych na żywo. |
HTTPS |
TCP |
Klient |
UCCX |
Większy niż 1023 |
9443 |
Bezpieczny port używany do odpowiadania na potrzeby klientów próbujących uzyskać dostęp do wyzwalaczy HTTPS |
TCP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
12014 r. |
Jest to port, w którym klienci raportujący dane na żywo mogą połączyć się z serwerem socket.IO |
TCP |
TCP |
Klient |
UCCX |
Większy niż 1023 |
12015 r. |
Jest to port, w którym klienci raportujący dane na żywo mogą połączyć się z serwerem socket.IO |
CTI |
TCP |
Klient |
UCCX |
Większy niż 1023 |
12028 r. |
Klient CTI innej firmy dla CCX |
RTP(Media) |
TCP |
Punkt końcowy |
UCCX |
Większy niż 1023 |
Większy niż 1023 |
W razie potrzeby port multimedialny jest dynamicznie otwarty |
RTP(Media) |
TCP |
Klient |
Punkt końcowy |
Większy niż 1023 |
Większy niż 1023 |
W razie potrzeby port multimedialny jest dynamicznie otwarty |
Bezpieczeństwo klienta
Zabezpieczenie Jabber i Webex za pomocą protokołu SIP OAuth
Klienci Jabber i Webex są uwierzytelniani za pomocą tokena OAuth zamiast certyfikatu o znaczeniu lokalnym (LSC), który nie wymaga włączenia funkcji proxy urzędu certyfikatu (CAPF) (również dla MRA). Protokół SIP OAuth pracujący z trybem mieszanym lub bez został wprowadzony w Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
W Cisco Unified CM 12.5 mamy nową opcję w profilu bezpieczeństwa telefonu, która umożliwia szyfrowanie bez LSC/CAPF za pomocą pojedynczego tokena Transport Layer Security (TLS) + OAuth w SIP REGISTER. Węzły Expressway-C używają interfejsu API administracyjnej usługi sieciowej XML (AXL) do informowania Cisco Unified CM o SN/SAN w ich certyfikacie. Firma Cisco Unified CM wykorzystuje te informacje do sprawdzania poprawności certyfikatu Exp-C podczas nawiązywania połączenia TLS.
Protokół SIP OAuth umożliwia szyfrowanie multimediów i sygnalizacji bez certyfikatu punktu końcowego (LSC).
Cisco Jabber korzysta z portów Ephemeral i bezpiecznych portów 6971 i 6972 poprzez połączenie HTTPS z serwerem TFTP w celu pobrania plików konfiguracyjnych. Port 6970 jest niezabezpieczonym portem do pobrania za pośrednictwem protokołu HTTP.
Więcej szczegółów na temat konfiguracji SIP OAuth: Tryb SIP OAuth.
Wymagania DNS
W przypadku wystąpienia dedykowanego Cisco udostępnia nazwę FQDN usługi w każdym regionie w następującym formacie<customer>.<region>.wxc-di.webex.com na przykład xyz.amer.wxc-di.webex.com.
Wartość „klient” jest dostarczana przez administratora w ramach Kreatora konfiguracji za pierwszym razem (FTSW). Aby uzyskać więcej informacji, zapoznaj się z aktywacją usługi dedykowanego wystąpienia.
Rejestry DNS dla tej nazwy FQDN muszą być możliwe do rozwiązania z wewnętrznego serwera DNS klienta, aby obsługiwać urządzenia lokalne łączące się z dedykowanym wystąpieniem. Aby ułatwić rozwiązanie problemu, klient musi skonfigurować Forwarder warunkowy dla tej nazwy FQDN na swoim serwerze DNS wskazującym na usługę DNS dedykowanego wystąpienia. Usługa DNS dedykowanego wystąpienia jest regionalna i można do niej dotrzeć za pośrednictwem peeringu do dedykowanego wystąpienia, używając następujących adresów IP wymienionych w poniższej tabeli Adres IP usługi DNS dedykowanego wystąpienia.
Region/DC | Adres IP usługi DNS dedykowanego wystąpienia |
Przykład przekazywania warunkowego |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Opcja ping jest wyłączona dla wyżej wymienionych adresów IP serwera DNS ze względów bezpieczeństwa. |
Dopóki nie nastąpi przekierowanie warunkowe, urządzenia nie będą mogły zarejestrować się w dedykowanym wystąpieniu z sieci wewnętrznej klienta za pośrednictwem łączy peering. Przekazywanie warunkowe nie jest wymagane do rejestracji za pośrednictwem usługi Mobile and Remote Access (MRA), ponieważ wszystkie wymagane zewnętrzne rekordy DNS ułatwiające obsługę MRA zostaną wstępnie skonfigurowane przez firmę Cisco.
Podczas korzystania z aplikacji Webex jako klienta miękkiego do nawiązywania połączeń w dedykowanym wystąpieniu należy skonfigurować profil UC Manager w Control Hub dla domeny usługi głosowej każdego regionu (VSD). Więcej informacji można znaleźć w profilach UC Manager w Cisco Webex Control Hub. Aplikacja Webex będzie mogła automatycznie rozwiązać problem Expressway Edge klienta bez interwencji użytkownika końcowego.
Domena usługi głosowej zostanie dostarczona klientowi w ramach dokumentu dostępu partnera po zakończeniu aktywacji usługi. |
Używanie lokalnego routera do rozpoznawania DNS telefonu
W przypadku telefonów, które nie mają dostępu do firmowych serwerów DNS, można użyć lokalnego routera Cisco do przesyłania żądań DNS do chmury dedykowanego wystąpienia DNS. Usuwa to potrzebę wdrożenia lokalnego serwera DNS i zapewnia pełną obsługę DNS, w tym buforowanie.
Przykładowa konfiguracja :
!
serwer ip dns
ip name-server <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
Użycie DNS w tym modelu wdrażania jest specyficzne dla telefonów i może być używane tylko do rozpoznawania nazw FQDN z domeną z dedykowanego wystąpienia klienta. |
Materiały referencyjne
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Bezpieczeństwo tematu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Przewodnik bezpieczeństwa dla programu Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html