- Página inicial
- /
- Artigo
Requisitos de segurança e rede de Instâncias Dedicadas
Os requisitos de rede e segurança da solução de Ocorrência dedicada são a abordagem em camadas dos recursos e funcionalidades que fornecem acesso físico seguro, rede, terminais e aplicativos Cisco UC. Ele descreve os requisitos de rede e lista os endereços, portas e protocolos usados para conectar seus endpoints aos serviços.
Requisitos de rede da ocorrência dedicada
Webex Calling Instância Dedicada é parte do portfólio da Cisco Cloud Calling, desenvolvido pela tecnologia de colaboração Cisco Unified Communications Manager (Cisco Unified CM). A Ocorrência Dedicada oferece soluções de voz, vídeo, mensagens e mobilidade com os recursos e benefícios de telefones IP da Cisco, dispositivos móveis e clientes de desktop que se conectam com segurança à Ocorrência Dedicada.
Este artigo é destinado aos administradores de rede, particularmente administradores de segurança de firewall e proxy que querem usar Instância Dedicada na organização.
Visão geral da segurança: Segurança em camadas
A Ocorrência Dedicada usa uma abordagem em camadas para segurança. As camadas incluem:
-
Acesso físico
-
Rede
-
Terminais
-
Aplicativos UC
As seguintes seções descrevem as camadas de segurança nas implantações de Instância Dedicada.
Segurança física
É importante fornecer segurança física para locais da Sala Equinix Meet-Me e instalações do Centro de Dados de Instância Dedicada da Cisco . Quando a segurança física é comprometida, podem ser iniciados ataques simples, como interrupção do serviço, ao desligar a energia dos comutadores de um cliente. Com acesso físico, invasores podem obter acesso a dispositivos do servidor, redefinir senhas e obter acesso a comutadores. O acesso físico também facilita ataques mais sofisticados, como ataques man-in-the-middle, que é por isso que a segunda camada de segurança, a segurança da rede, é fundamental.
As unidades de disco de auto-criptografia são usadas em Centros de Dados de Instância Dedicada que hospedam aplicativos UC.
Para obter mais informações sobre práticas gerais de segurança, consulte a documentação no seguinte local: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Segurança da rede
Os parceiros precisam garantir que todos os elementos de rede sejam protegidos na infraestrutura de Instância dedicada (que se conecta via Equinix). É de responsabilidade do parceiro garantir as melhores práticas de segurança, tais como:
-
Separar VLAN para voz e dados
-
Habilitar Segurança da Porta que limita o número de endereços MAC permitidos por porta, contra a tabela CAM de confirmação
-
Proteção de origem IP contra endereços IP spoofed
-
A Inspeção Dinâmica do ARP (DAI) analisa o protocolo de resolução de endereços (ARP) e o ARP gratuito (GARP) para violações (contra spoofing ARP)
-
802. limita1x o acesso à rede para autenticar dispositivos nas VLANs atribuídas (os telefones suportam 802.1x)
-
Configuração da qualidade de serviço (QoS) para marcação apropriada de pacotes de voz
-
Configurações de portas do firewall para bloquear qualquer outro tráfego
Segurança de endpoints
Os terminais da Cisco suportam recursos de segurança padrão, como firmware assinado, inicialização segura (modelos selecionados), certificado instalado do fabricante (MIC) e arquivos de configuração assinados, que fornecem um certo nível de segurança para os terminais.
Além disso, um parceiro ou cliente pode permitir segurança adicional, como:
-
Criptografe os serviços telefônicos IP (via HTTPS) para serviços como a Mobilidade de extensão
-
Emissão de certificados localmente significativos (LSCs) da função de proxy da autoridade de certificação (CAPF) ou de uma autoridade de certificação pública (CA)
-
Criptografar arquivos de configuração
-
Criptografar mídia e sinalização
-
Desative estas configurações se elas não foram usadas: Porta pc, acesso de VLAN de voz no PC, ARP gratuito, acesso à web, botão Configurações, SSH, console
A implementação de mecanismos de segurança na Ocorrência Dedicada impede o roubo de identidade dos telefones e do servidor Unified CM, violação de dados e sinalização de chamada/violação de fluxo de mídia.
Ocorrência dedicada pela rede:
-
Estabelece e mantém fluxos de comunicação autenticados
-
Assina digitalmente arquivos antes de transferir o arquivo para o telefone
-
Criptografa fluxos de mídia e sinalização de chamada entre Cisco Unified IP phones
A segurança por padrão oferece os seguintes recursos de segurança automáticos para Cisco Unified IP phones:
-
Assinar os arquivos de configuração do telefone
-
Suporte para criptografia de arquivos de configuração de telefone
-
HTTPS com Tomcat e outros serviços da web (MIDlets)
Para o Unified CM versão 8.0 posterior, esses recursos de segurança são fornecidos por padrão sem executar o cliente Lista de certificados de confiança (CTL).
Serviço de verificação de confiançaComo há um grande número de telefones em uma rede e telefones IP tem memória limitada, o Cisco Unified CM atua como um armazenamento de confiança remota através do Serviço de Verificação de Confiança (TVS), de modo que um armazenamento de confiança de certificados não precisa ser colocado em cada telefone. O cisco IP phones entrar em contato com o servidor TVS para verificação porque eles não podem verificar uma assinatura ou certificado através de arquivos CTL ou ITL. Ter um armazenamento de confiança central é mais fácil de gerenciar do que ter o trust store em cada Cisco Unified IP virtual.
O TVS permite Cisco Unified IP para autenticar servidores de aplicativos, como serviços EM, diretório e MIDlet, durante o estabelecimento do HTTPS.
Lista inicial de confiançaO arquivo Lista de confiança inicial (ITL) é usado para a segurança inicial, de modo que os terminais podem confiar Cisco Unified CM. A ITL não precisa que nenhum recurso de segurança seja habilitado explicitamente. O arquivo ITL é criado automaticamente quando o grupo é instalado. A chave privada do servidor do Unified CM Trivial File Transfer Protocol (TFTP) é usada para assinar o arquivo ITL.
Quando o Cisco Unified ou servidor CM estiver em modo não seguro, o arquivo ITL é baixado em cada telefone Cisco IP suportado. Um parceiro pode visualizar o conteúdo de um arquivo ITL usando o comando CLI, admin:show itl.
Os cisco IP phones precisam do arquivo ITL para executar as seguintes tarefas:
-
Comunique-se com segurança para o CAPF, um pré-requisito para suportar a criptografia de arquivos de configuração
-
Autenticar a assinatura do arquivo de configuração
-
Autenticar servidores de aplicativos, tais como serviços EM, diretório e MIDlet durante o estabelecimento de HTTPS usando TVS
Autenticação de dispositivo, arquivo e sinalização confiam na criação do arquivo Lista de certificados confiável (CTL), que é criado quando o parceiro ou cliente instala e configura o Cliente da lista de confiança de certificados da Cisco.
O arquivo CTL contém entradas para os seguintes servidores ou tokens de segurança:
-
Token de Segurança do Administrador do Sistema (SAST)
-
Serviços Cisco CallManager e Cisco TFTP que estão em execução no mesmo servidor
-
Função de proxy da autoridade de certificação (CAPF)
-
Servidor(es) TFTP
-
Firewall ASA
O arquivo CTL contém um certificado de servidor, chave pública, número de série, assinatura, nome do emissor, nome do assunto, função do servidor, nome dns e endereço de IP para cada servidor.
A segurança do telefone com CTL fornece as seguintes funções:
-
Autenticação de arquivos baixados pelo TFTP (configuração, localidade, lista de toques, e assim por diante) usando uma chave de assinatura
-
Criptografia de arquivos de configuração TFTP usando uma chave de assinatura
-
Sinalização de chamada criptografada para telefones IP
-
Áudio de chamada criptografado (mídia) para telefones IP
A Ocorrência Dedicada oferece registro do ponto final e processamento de chamada. A sinalização entre Cisco Unified CM e terminais é baseada no Secure Skinny Client Control Protocol (SCCP) ou Protocolo de iniciação de sessão (SIP) e pode ser criptografada usando Transport Layer Security (TLS). A mídia de/para os terminais é baseada no RTP (Protocolo de Transporte em Tempo Real) e também pode ser criptografada usando RTP Seguro (SRTP).
Habilitar modo misto no Unified CM habilita a criptografia do tráfego de mídia e sinalização de e para os terminais da Cisco.
Aplicativos de UC seguros
Ativando o modo misto na ocorrência dedicadaO modo misto é ativado por padrão na Ocorrência dedicada.
Habilitar modo misto em Instância Dedicada habilita a capacidade de executar a criptografia do tráfego de mídia e sinalização de e para os terminais da Cisco.
Na Cisco Unified CM versão 12.5(1), uma nova opção para permitir a criptografia de sinalização e mídia com base no SIP OAuth em vez do modo misto /CTL foi adicionada aos clientes Jabber e Webex. Portanto, no Unified CM versão 12.5(1), o SIP OAuth e SRTP podem ser usados para permitir a criptografia para sinalização e mídia para clientes Jabber ou Webex. A ativação do modo misto continua a ser necessária para os IP phones Cisco e outros terminais Cisco neste momento. Há um plano para adicionar suporte ao SIP OAuth em terminais 7800/8800 em uma versão futura.
Segurança de mensagens de vozCisco Unity Connection se conecta ao Unified CM através da porta TLS. Quando o modo de segurança do dispositivo não é seguro, o Cisco Unity Connection se conecta ao Unified CM através da porta SCCP.
Para configurar a segurança das portas de mensagens de voz do Unified CM e dispositivos Cisco Unity que estão executando dispositivos SCCP ou Cisco Unity Connection que estão executando o SCCP, um parceiro pode escolher um modo de segurança de dispositivo seguro para a porta. Se você escolher uma porta de correio de voz autenticada, uma conexão TLS abre, que autentica os dispositivos usando uma troca de certificado mútuo (cada dispositivo aceita o certificado do outro dispositivo). Se você escolher uma porta de correio de voz criptografada, o sistema autentica os dispositivos e, em seguida, envia fluxos de voz criptografados entre os dispositivos.
Para obter mais informações sobre as portas de mensagens de voz de segurança, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Segurança para SRST, Troncos, Gateways, CUBE/SBC
Uma porta habilitada para Cisco Unified Telefonia de Site Remoto (SRST) que oferece tarefas de processamento de chamada limitadas se o Cisco Unified CM em instância dedicada não puder concluir a chamada.
Gateways habilitados para SRST seguros contêm um certificado auto-assinado. Depois que um parceiro executa tarefas de configuração SRST na Administração do Unified CM, o Unified CM usa uma conexão TLS para autenticar com o serviço de Provedor de Certificados no gateway habilitado para SRST. O Unified CM então recupera o certificado do gateway habilitado para SRST e adiciona o certificado ao banco de dados do Unified CM.
Depois que o parceiro redefinir os dispositivos dependentes na Administração do Unified CM, o servidor TFTP adiciona o certificado de gateway habilitado para SRST ao arquivo cnf.xml de telefone e envia o arquivo para o telefone. Um telefone seguro então usa uma conexão TLS para interagir com o gateway habilitado para SRST.
Recomenda-se ter troncos seguros para a chamada originada de Cisco Unified CM ao gateway para chamadas PSTN de saída ou passagem através do elemento Cisco Unified borda (CUBE).
Os troncos SIP podem suportar chamadas seguras para sinalização, bem como mídia; TLS fornece criptografia de sinalização e SRTP fornece criptografia de mídia.
Protegendo comunicações entre o Cisco Unified CM e o CUBE
Para comunicações seguras entre Cisco Unified CM e o CUBE, parceiros/clientes precisam usar certificados auto assinados ou certificados assinados pela CA.
Para certificados auto assinados:
-
CUBE e Cisco Unified CM geram certificados auto assinados
-
CUBE exporta certificado para Cisco Unified CM
-
Cisco Unified CM exporta certificado para CUBE
Para certificados assinados pela CA:
-
O cliente gera um par de chaves e envia uma Solicitação de Assinatura de Certificado (CSR) para a Autoridade certificadora (CA)
-
A CA a assina com sua chave privada, criando um Certificado de Identidade
-
O Cliente instala a lista de certificados raiz e de intermediação de CA confiáveis e o Certificado de identidade
Segurança de terminais remotos
Com os terminais móveis Remote Access (MRA), a sinalização e a mídia estão sempre criptografadas entre os terminais MRA e Expressway nós. Se o protocolo Interativo de Estabelecimento de Conectividade (ICE) é usado para terminais MRA, é necessário sinalização e criptografia de mídia dos terminais MRA. No entanto, a criptografia da sinalização e da mídia entre o Expressway-C e os servidores Unified CM internos, terminais internos ou outros dispositivos internos exigem modo misto ou SIP OAuth.
Cisco Expressway fornece suporte protegido por firewall traversal e linha para registros do Unified CM. O Unified CM fornece controle de chamada para terminais móveis e no local. A sinalização atravessa a Expressway rápida entre a extremidade remota e o Unified CM. A mídia atravessa a Expressway e é atrasada diretamente entre os terminais. Toda a mídia é criptografada entre o Expressway-C e a extremidade móvel.
Qualquer solução MRA requer Expressway e Unified CM, com clientes soft compatíveis com MRA e/ou terminais fixos. A solução pode opcionalmente incluir o IM e Presence Service e o Unity Connection.
Resumo do protocolo
A tabela a seguir mostra os protocolos e serviços associados usados na solução Unified CM.
Protocolo |
Segurança |
Serviço |
---|---|---|
SIP |
TLS |
Estabelecimento de sessão: Registrar, convidar etc. |
HTTPS |
TLS |
Logon, Provisionamento/Configuração, Diretório, Correio de Voz Visual |
Mídia |
SRTP |
Mídia: Áudio, Vídeo, Compartilhamento de Conteúdo |
XMPP |
TLS |
Mensagem Instantânea, Presença, Federação |
Para obter mais informações sobre a configuração MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opções de configuração
A Ocorrência Dedicada oferece ao Parceiro flexibilidade para personalizar serviços para usuários finais através do controle total das configurações do segundo dia. Como resultado, o Parceiro é o único responsável pela configuração adequada do serviço de Instância Dedicada para o ambiente do usuário final. Isso inclui, mas não limitado a:
-
Escolher chamadas seguras/não seguras, protocolos seguros/inseguros, como SIP/sSIP, http/https etc. e entender todos os riscos associados.
-
Para todos os endereços MAC não configurados como SECURE-SIP em InstânciaDedicada, um invasor pode enviar uma mensagem de Registro SIP usando esse endereço MAC e ser capaz de fazer chamadas SIP, resultando em fraude com tarifa. O requisito é que o invasor possa registrar seu dispositivo/software SIP para Instância Dedicada sem autorização se ele sabe o endereço MAC de um dispositivo registrado na Ocorrência Dedicada.
-
Expressway políticas de chamada E-E, transformar e pesquisar regras devem ser configuradas para impedir fraudes de ligação tarifada. Para obter mais informações sobre como evitar fraudes com tarifa usando o Expressways, consulte a Seção Expressway C Expressway-E do Collaboration SRND.
-
Configuração do plano de discagem para garantir que os usuários só possam discar destinos permitidos, por exemplo, proibir discagem nacional/internacional, as chamadas de emergência serão encaminhadas corretamente etc. Para obter mais informações sobre a aplicação de restrições usando o plano de discagem, consulte a seção Dial Plan do Collaboration SRND.
Requisitos de certificado para conexões seguras na Ocorrência dedicada
Para Instância Dedicada, a Cisco fornecerá o domínio e assinará todos os certificados para os Aplicativos UC usando uma autoridade de certificação (CA) pública.
Ocorrência dedicada – números de porta e protocolos
As tabelas a seguir descrevem as portas e protocolos que são suportados em Instância Dedicada. As portas que são usadas para um determinado cliente depende da implantação e solução do cliente. Os protocolos dependem da preferência do cliente (SCCP x SIP), dos dispositivos locais existentes e de qual nível de segurança determinar quais portas devem ser usadas em cada implantação.
A Ocorrência dedicada não permite a Tradução de endereços de rede (NAT) entre os terminais e o Unified CM, pois alguns dos recursos de fluxo de chamada não funcionarão, por exemplo, o recurso durante a chamada.
Instância dedicada – Portas do cliente
As portas disponíveis para clientes - entre o cliente no local e a Instância dedicada é mostrada na Tabela 1 Portas do cliente de instância dedicadas. Todas as portas listadas abaixo são para o tráfego do cliente que atravessa os links de peering.
A porta SNMP está aberta por padrão apenas para que o Cisco Emergency Responder ofereça suporte à sua funcionalidade. Como não oferecemos suporte a parceiros ou clientes para monitorar os aplicativos UC implantados na nuvem de Ocorrência dedicada, não permitimos a abertura de porta SNMP para quaisquer outros aplicativos UC.
As portas no intervalo de 5063 a 5080 são reservadas pela Cisco para outras integrações de nuvem, parceiros ou administradores de clientes são recomendados para não usar essas portas em suas configurações.
Protocolo |
TCP/UDP |
Source |
Destino |
Porta de origem |
Porta de destino |
Propósito |
---|---|---|---|---|---|---|
Ssh |
TCP |
Cliente |
Aplicativos UC Não permitido para aplicativos Cisco Expressway. |
Superior a 1023 |
22 |
Administração |
Tftp |
UDP |
Terminal |
Unified CM |
Superior a 1023 |
69 |
Suporte ao terminal herdado |
LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Superior a 1023 |
389 |
Sincronização de diretório com o cliente LDAP |
HTTPS |
TCP |
Navegador |
Aplicativos UC |
Superior a 1023 |
443 |
Acesso à Web para interfaces administrativas e de autoatendplicação |
E-mail de saída (SEGURO) |
TCP |
Aplicativo UC |
CUCxn |
Superior a 1023 |
587 |
Usado para escrever e enviar mensagens seguras a qualquer destinatário designado |
LDAP (SEGURO) |
TCP |
Aplicativos UC |
Diretório externo |
Superior a 1023 |
636 |
Sincronização de diretório com o cliente LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Superior a 1023 |
1720 |
Sinalização de chamada |
H323 |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
1720 |
Sinalização de chamada |
SCCP |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
2000 |
Sinalização de chamada |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
2000 |
Sinalização de chamada |
MGCP |
UDP |
Gateway |
Gateway |
Superior a 1023 |
2427 |
Sinalização de chamada |
Backup MGCP |
TCP |
Gateway |
Unified CM |
Superior a 1023 |
2428 |
Sinalização de chamada |
SCCP (SEGURO) |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
2443 |
Sinalização de chamada |
SCCP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
2443 |
Sinalização de chamada |
Verificação de confiança |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2445 |
Fornecer serviço de verificação de confiança para os terminais |
Cti |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2748 |
Conexão entre os aplicativos CTI (JTAPI/TSP) e CTIManager |
CTI seguro |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2749 |
Conexão segura entre os aplicativos CTI (JTAPI/TSP) e o CTIManager |
Catálogo Global LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Superior a 1023 |
3268 |
Sincronização de diretório com o cliente LDAP |
Catálogo Global LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Superior a 1023 |
3269 |
Sincronização de diretório com o cliente LDAP |
Serviço CAPF |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
3804 |
Porta de escuta da Função de proxy da autoridade certificadora (CAPF) para a emissão de certificados significativos locais (LSC) para telefones IP |
SIP |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
5060 |
Sinalização de chamada |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
5060 |
Sinalização de chamada |
SIP (SEGURO) |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
5061 |
Sinalização de chamada |
SIP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
5061 |
Sinalização de chamada |
SIP (OAUTH) |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
5090 |
Sinalização de chamada |
XMPP |
TCP |
Cliente Jabber |
Cisco IM&P |
Superior a 1023 |
5222 |
Mensagens instantâneas e presença |
HTTP |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6970 |
Baixando configurações e imagens para terminais |
HTTPS |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6971 |
Baixando configurações e imagens para terminais |
HTTPS |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6972 |
Baixando configurações e imagens para terminais |
HTTP |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7080 |
Notificações de correio de voz |
HTTPS |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7443 |
Notificações seguras de correio de voz |
HTTPS |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
7501 |
Usado pelo Intercluster Lookup Service (ILS) para autenticação baseada em certificado |
HTTPS |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
7502 |
Usado pelo ILS para autenticação baseada em senha |
IMAP |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7993 |
IMAP sobre TLS |
HTTP |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
8080 |
URI do diretório para suporte a endpoint herdado |
HTTPS |
TCP |
Navegador, extremidade |
Aplicativos UC |
Superior a 1023 |
8443 |
Acesso à Web para interfaces administrativas e de autoatendplicação, UDS |
HTTPS |
TCP |
Telefone |
Unified CM |
Superior a 1023 |
9443 |
Pesquisa de contato autenticada |
HTTPs |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
9444 |
Recurso de gerenciamento do fone de ouvido |
RTP/SRTP seguro |
UDP |
Unified CM |
Telefone |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada) |
RTP/SRTP seguro |
UDP |
Telefone |
Unified CM |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera,Nunciador, Ponte de Conferência de Software (Aberto com base na sinalização de chamada) |
COBRAS |
TCP |
Cliente |
CUCxn |
Superior a 1023 |
20532 |
Fazer backup e restaurar o pacote de aplicativos |
ICMP |
ICMP |
Terminal |
Aplicativos UC |
N/D |
N/D |
Ping |
ICMP |
ICMP |
Aplicativos UC |
Terminal |
N/D |
N/D |
Ping |
DNS | UDP e TCP |
encaminhador DNS |
Servidores DNS de ocorrência dedicada |
Superior a 1023 |
53 |
Encaminhadores DNS do local do cliente para servidores DNS de ocorrência dedicada. Consulte Requisitos DNS para obter mais informações. |
* Alguns casos especiais podem usar uma maior variedade. |
Ocorrência dedicada – Portas OTT
A seguinte porta pode ser usada por clientes e parceiros para configuração de acesso móvel e remoto (MRA):
Protocolo |
TCP/UCP |
Source |
Destino |
Porta de origem |
Porta de destino |
Propósito |
---|---|---|---|---|---|---|
RTP SEGURO/RTCP |
UDP |
Expressway C |
Cliente |
Superior a 1023 |
36000-59999 |
Mídia segura para chamadas MRA e B2B |
Tronco SIP entre vários locatários e ocorrência dedicada (apenas para tronco baseado em registro)
A seguinte lista de portas precisa ser permitida no firewall do cliente para o tronco SIP baseado em registro que conecta entre o Multilocatário e a Ocorrência dedicada.
Protocolo |
TCP/UCP |
Source |
Destino |
Porta de origem |
Porta de destino |
Propósito |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multilocatário do Webex Calling |
Cliente |
Superior a 1023 |
8000-48198 |
Mídia do multilocatário do Webex Calling |
Ocorrência dedicada – portas UCCX
A seguinte lista de portas pode ser usada por clientes e parceiros para configurar o UCCX.
Protocolo |
TCP/UCP |
Source |
Destino |
Porta de origem |
Porta de destino |
Propósito |
---|---|---|---|---|---|---|
Ssh |
TCP |
Cliente |
UCCX |
Superior a 1023 |
22 |
SFTP e SSH |
Informix |
TCP |
Cliente ou servidor |
UCCX |
Superior a 1023 |
1504 |
porta do banco de dados do Contact Center Express |
SIP |
UDP e TCP |
Servidor SIP GW ou MCRP |
UCCX |
Superior a 1023 |
5065 |
Comunicação ao GW e nós MCRP remotos |
XMPP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
5223 |
Conexão XMPP segura entre o servidor Finesse e aplicativos personalizados de terceiros |
Cvd |
TCP |
Cliente |
UCCX |
Superior a 1023 |
6999 |
Editor para aplicativos CCX |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
7443 |
Conexão BOSH segura entre o servidor Finesse e os desktops do agente e do supervisor para comunicação em HTTPS |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8080 |
Clientes de relatórios de dados dinâmicos se conectam a um servidor socket.IO |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8081 |
Navegador do cliente tentando acessar a interface Cisco Unified Intelligence Center |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8443 |
GUI de administração, RTMT, acesso DB sobre SOAP |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8444 |
Cisco Unified da web do Intelligence Center |
HTTPS |
TCP |
Navegador e rest clientes |
UCCX |
Superior a 1023 |
8445 |
Porta segura para Finesse |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8447 |
HTTPS - Ajuda on-line do Unified Intelligence Center |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8553 |
Os componentes de registro único (SSO) acessam esta interface para saber o status operacional do Cisco IdS. |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
9080 |
Os clientes tentando acessar acionar ou documentos HTTP/ prompts / gramáticas / dados ao vivo. |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
9443 |
Porta segura usada para responder aos clientes que tentam acessar acionamentos HTTPS |
TCP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12014 |
Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO |
TCP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12015 |
Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO |
Cti |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12028 |
Cliente CTI de terceiros para CCX |
RTP (Mídia) |
TCP |
Terminal |
UCCX |
Superior a 1023 |
Superior a 1023 |
A porta de mídia é aberta dinamicamente, conforme necessário |
RTP (Mídia) |
TCP |
Cliente |
Terminal |
Superior a 1023 |
Superior a 1023 |
A porta de mídia é aberta dinamicamente, conforme necessário |
segurança do Cliente
Proteger o Jabber e o Webex com o SIP OAuth
Os clientes Jabber e Webex são autenticados através de um token OAuth em vez de um certificado localmente significativo (LSC), que não exige a aplicação de função de proxy da autoridade certificadora (CAPF) (também para MRA). O SIP OAuth funcionando com ou sem modo misto foi introduzido Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.
No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando o único token OAuth Security (TLS) + Transport Layer Security no REGISTRO SIP. Expressway -C nós usam a API do Serviço da Web (AXL) XML administrativo para informar Cisco Unified CM do SN/SAN em seus certificados. Cisco Unified CM utiliza essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútuo conexão.
O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de ponto final (LSC).
O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 via conexão HTTPS com o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.
Mais detalhes sobre a configuração do SIP OAuth: Modo SIP OAuth .
Requisitos DNS
Para a Ocorrência dedicada, a Cisco fornece o FQDN para o serviço em cada região com o seguinte formato..wxc-di.webex.com por exemplo, xyz.amer.wxc-di.webex.com .
O valor 'cliente' é fornecido pelo administrador como parte do Assistente para configuração pela primeira vez (FTSW). Para obter mais informações, consulte Ativação do serviço de instância dedicada.
Os registros de DNS para FQDN precisam ser resolvidos a partir do servidor DNS interno do cliente para suportar dispositivos locais que se conectam à Ocorrência Dedicada. Para facilitar a resolução, o cliente precisa configurar um Encaminhamento Condicional, para este FQDN, no servidor DNS, apontando para o serviço DNS de Instância Dedicada. O serviço DNS da ocorrência dedicada é regional e pode ser alcançado, por meio do emparelhamento com a ocorrência dedicada, usando os seguintes endereços IP conforme mencionado na tabela abaixo Endereço IP de serviço DNS da ocorrência dedicada .
Região/DC | Endereço de IP do serviço DNS de Instância Dedicada |
Exemplo de encaminhamento condicional |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Pecado |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
Reino Unido |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
HOMEM |
178.215.135.228 |
A opção ping está desabilitada para os endereços de IP do servidor DNS mencionados acima por razões de segurança.
Até que o encaminhamento condicional seja realizado, os dispositivos não poderão se registrar na Ocorrência Dedicada da rede interna dos clientes através dos links de peering. O encaminhamento condicional não é necessário para registro via Mobile e Remote Access (MRA), pois todos os registros DNS externos necessários para facilitar o MRA serão pré-provisionados pela Cisco.
Ao usar o aplicativo Webex como seu cliente soft calling na Instância Dedicada, um Perfil do UC Manager precisa ser configurado no Control Hub para o Domínio de Serviço de Voz (VSD) de cada região. Para obter mais informações, consulte Perfis do UC Manager Cisco Webex Control Hub. O aplicativo Webex poderá resolver automaticamente o edge do Expressway do cliente sem nenhuma intervenção do usuário final.
O domínio do serviço de voz será fornecido ao cliente como parte do documento de acesso do parceiro assim que a ativação do serviço for concluída.
Usar um roteador local para resolução DNS do telefone
Para telefones que não têm acesso aos servidores DNS corporativos, é possível usar um roteador Cisco local para encaminhar solicitações DNS ao DNS em nuvem de Ocorrência dedicada. Isso remove a necessidade de implantar um servidor DNS local e fornece suporte DNS completo, incluindo cache.
Configuração de exemplo :
!
servidor ip dns
Nome IP-servidor
!
O uso do DNS neste modelo de implantação é específico para telefones e só pode ser usado para resolver FQDN com o domínio da Ocorrência dedicada dos clientes.
Referências
-
Design de Rede de Referência de Solução (SRND) do Cisco Collaboration 12.x, tópico de Segurança: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Guia de segurança para Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html