Este documento se concentra principalmente nos requisitos de rede e segurança para uma solução de Instância dedicada, incluindo a abordagem em camadas para os recursos e funcionalidades que fornecem acesso físico seguro, uma rede segura, terminais seguros e aplicativos Cisco UC seguros.
Requisitos de rede da ocorrência dedicada
A Instância dedicada do Webex Calling faz parte do portfólio do Nuvem Cisco Calling, desenvolvido com a tecnologia de colaboração do Cisco Unified Communications Manager (Cisco Unified CM). A Instância dedicada oferece soluções de voz, vídeo, mensagens e mobilidade com os recursos e benefícios dos telefones IP Cisco, dispositivos móveis e clientes de desktop que se conectam com segurança à Instância dedicada.
Este artigo se destina a administradores de rede, particularmente administradores de segurança de firewall e proxy que desejam usar a Instância dedicada dentro de sua organização.
Visão geral da segurança: Segurança em camadas
Instância dedicada usa uma abordagem em camadas para segurança. As camadas incluem:
Acesso físico
Rede
Terminais
Aplicativos UC
As seções seguintes descrevem as camadas de segurança em Instância dedicada implantações.
Segurança física
É importante fornecer segurança física para os locais de Salas MeetMe da Equinix e Instância dedicada Instalações do data center. Quando a segurança física é comprometida, ataques simples, como a interrupção do serviço ao desligar a energia dos comutadores de um cliente, podem ser iniciados. Com acesso físico, os invasores podem obter acesso a dispositivos de servidor, redefinir senhas e obter acesso a comutadores. O acesso físico também facilita ataques mais sofisticados, como ataques man-in-the-middle, e é por isso que a segunda camada de segurança, a segurança de rede, é essencial.
As unidades com criptografia automática são usadas em Instância dedicada Centros de dados que hospedam aplicativos UC.
Para obter mais informações sobre práticas gerais de segurança, consulte a documentação no seguinte local: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Segurança da rede
Os parceiros precisam garantir que todos os elementos da rede estejam protegidos Instância dedicada infraestrutura (que se conecta via Equinix). É responsabilidade do parceiro garantir as práticas recomendadas de segurança, tais como:
VLAN separada para voz e dados
Habilite a segurança de porta, que limita o número de endereços MAC permitidos por porta, contra inundações de tabela CAM
Proteção de origem de IP contra endereços de IP falsificados
A inspeção de ARP dinâmico (DAI) examina o protocolo de resolução de endereços (ARP) e o ARP gratuito (GARP) em busca de violações (contra falsificação de ARP)
802.1x limita o acesso à rede para dispositivos de autenticação em VLANs atribuídas (os telefones suportam 802.1x )
Configuração de qualidade de serviço (QoS) para marcação apropriada de pacotes de voz
Configurações de portas de firewall para bloquear qualquer outro tráfego
Segurança de endpoints
Os terminais da Cisco suportam recursos de segurança padrão, como firmware assinado, inicialização segura (modelos selecionados), certificado instalado pelo fabricante (MIC) e arquivos de configuração assinados, que fornecem um certo nível de segurança para os terminais.
Além disso, um parceiro ou cliente pode ativar segurança adicional, como:
Criptografar serviços de telefone IP (via HTTPS) para serviços como a Extension Mobility
Emitir certificados localmente significativos (LSCs) da função de proxy de autoridade de certificação (CAPF) ou de uma autoridade de certificação pública (CA)
Criptografar arquivos de configuração
Criptografar mídia e sinalização
Desative estas configurações se elas não forem usadas: porta do PC PC, Acesso à VLAN do PC Voice, ARP gratuito, Acesso Web, botão Configurações, SSH, console
Implementando mecanismos de segurança na Instância dedicada impede o roubo de identidade dos telefones e do servidor do Unified CM, a adulteração de dados e a adulteração de sinalização de chamada/fluxo de mídia.
Instância dedicada através da rede:
Estabelece e mantém fluxos de comunicação autenticados
Assina os arquivos digitalmente antes de transferi-los para o telefone
Criptografa os fluxos de mídia e a sinalização de chamadas entre os Telefones IP Cisco Unified
A segurança por padrão fornece os seguintes recursos de segurança automática para os Telefones IP Cisco Unified:
Assinatura dos arquivos de configuração do telefone
Suporte para criptografia de arquivos de configuração do telefone
HTTPS com Tomcat e outros serviços Web (MIDlets)
Para o Unified CM versão 8.0 posterior, esses recursos de segurança são fornecidos por padrão sem executar o cliente de lista de certificados confiáveis (CTL).
Como há um grande número de telefones em uma rede e os telefones IP têm memória limitada, o Cisco Unified CM atua como um armazenamento confiável remoto por meio do serviço de verificação de confiança (TVS), para que um armazenamento confiável de certificados não tenha que ser colocado em cada telefone. Os Telefones IP Cisco entram em contato com o servidor TVS para verificação porque não podem verificar uma assinatura ou certificado por meio de arquivos CTL ou ITL. Ter um armazenamento confiável central é mais fácil de gerenciar do que ter o armazenamento confiável em cada telefone IP Cisco Unified.
O TVS permite que os Telefones IP Cisco Unified autentiquem servidores de aplicativos, como serviços EM, diretório e MIDlet, durante o estabelecimento de HTTPS.
O arquivo de lista de confiança inicial (ITL) é usado para a segurança inicial, para que os terminais possam confiar no Cisco Unified CM. A ITL não precisa que nenhum recurso de segurança seja ativado explicitamente. O arquivo ITL é criado automaticamente quando o cluster é instalado. A chave privada do servidor TFTP ( Unified CM Trivial File Transfer Protocol) é usada para assinar o arquivo ITL.
Quando o servidor ou grupo do Cisco Unified CM estiver em modo seguro, o arquivo ITL será baixado em cada Cisco telefone IP suportado. Um parceiro pode visualizar o conteúdo de um arquivo ITL usando o comando de CLI, admin:show itl.
Os Telefones IP Cisco precisam do arquivo ITL para executar as seguintes tarefas:
Comunique-se com segurança com a CAPF, um pré-requisito para oferecer suporte à criptografia do arquivo de configuração
Autenticar a assinatura do arquivo de configuração
Autenticar servidores de aplicativos, como serviços EM, diretório e MIDlet durante o estabelecimento de HTTPS usando TVS
A autenticação de dispositivo, de arquivo e de sinalização depende da criação do arquivo de lista de certificados confiáveis (CTL), que é criado quando o parceiro ou cliente instala e configura o cliente de lista de certificados confiáveis da Cisco.
O arquivo CTL contém entradas para os seguintes servidores ou tokens de segurança:
Token de segurança do administrador do sistema (SAST)
Serviços Cisco CallManager e Cisco TFTP em execução no mesmo servidor
CAPF (Função de proxy de Autoridade de certificação )
Servidor(es) TFTP
firewall ASA
O arquivo CTL contém um certificado de servidor, chave pública, número de série, assinatura, nome do emissor, nome da entidade, função do servidor, nome DNS e endereço IP para cada servidor.
A segurança do telefone com CTL fornece as seguintes funções:
Autenticação de arquivos TFTP baixados (configuração, localidade, lista de toque, etc.) usando uma chave de assinatura
Criptografia de arquivos de configuração TFTP usando uma chave de assinatura
Sinalização de chamada criptografada para telefones IP
Áudio de chamada criptografado (mídia) para telefones IP
Instância dedicada fornece registro de terminal e processamento de chamadas. A sinalização entre o Cisco Unified CM e os terminais é baseada no Secure protocolo SCCP (SCCP) ou no Protocolo de Iniciação da Sessão (SIP) e pode ser criptografada usando o Segurança da camada de transporte (TLS). A mídia de/para os terminais é baseada no protocolo de transporte em tempo real (RTP) e também pode ser criptografada usando o RTP seguro (SRTP).
A habilitação do modo misto no Unified CM permite a criptografia do tráfego de mídia de e para os terminais da Cisco.
Aplicativos de UC seguros
O modo misto é ativado por padrão em Instância dedicada .
Como ativar o modo misto em Instância dedicada permite a capacidade de executar a criptografia do tráfego de mídia de e para os terminais da Cisco.
No Cisco Unified CM versão 12.5(1), uma nova opção para ativar a criptografia de sinalização e mídia com base no SIP OAuth em vez de modo misto/CTL foi adicionada para clientes Jabber e Webex . Portanto, no Unified CM versão 12.5(1), o SIP OAuth e o SRTP podem ser usados para ativar a criptografia de sinalização e mídia para clientes Jabber ou Webex . A ativação do modo misto continua sendo necessária para os Telefones IP Cisco e outros terminais da Cisco no momento. Há um plano para adicionar suporte para SIP OAuth em terminais 7800/8800 em uma versão futura.
O Cisco Unity Connection se conecta ao Unified CM através da porta TLS. Quando o modo de segurança do dispositivo não é seguro, o Cisco Unity Connection se conecta ao Unified CM através da porta SCCP.
Para configurar a segurança para portas de mensagens de voz Unified CM e dispositivos Cisco Unity que estão executando o SCCP ou dispositivos Cisco Unity Connection que estão executando o SCCP, um parceiro pode escolher um modo de segurança de dispositivo seguro para a porta. Se você escolher uma porta do correio de voz de voz autenticada , uma conexão TLS será aberta, que autenticará os dispositivos usando uma troca de certificados mútuos (cada dispositivo aceita o certificado do outro). Se você escolher uma porta do correio de voz de voz criptografada , o sistema primeiro autentica os dispositivos e, em seguida, envia fluxos de voz criptografados entre os dispositivos.
Para obter mais informações sobre portas de mensagens de voz de segurança, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Segurança para SRST, Troncos, Gateways, CUBE/SBC
Um gateway ativado para Cisco Unified Survivable Remote Site Telephony (SRST) fornece tarefas de processamento de chamadas limitadas se o Cisco Unified CM Instância dedicada não pode concluir a chamada.
Os gateways seguros habilitados para SRST contêm um certificado autoassinado. Depois que um parceiro executa tarefas de configuração SRST no Administração do Unified CM, o Unified CM usa uma conexão TLS para autenticar com o serviço Provedor de certificados no gateway habilitado para SRST. O Unified CM recupera o certificado do gateway habilitado para SRST e adiciona o certificado ao banco de dados do Unified CM .
Depois que o parceiro redefine os dispositivos dependentes no Administração do Unified CM, o servidor TFTP adiciona o certificado de gateway habilitado para SRST para SRST ao arquivo cnf.xml do telefone e envia o arquivo para o telefone. Um telefone seguro usa uma conexão TLS para interagir com o gateway habilitado para SRST.
É recomendado ter troncos seguros para a chamada originada do Cisco Unified CM para o gateway para chamadas PSTN de saída ou que atravessam o Cisco Unified Border Element (CUBE).
Os troncos SIP podem suportar chamadas seguras tanto para sinalização quanto para mídia; O TLS fornece criptografia de sinalização e o SRTP fornece criptografia de mídia.
Protegendo comunicações entre o Cisco Unified CM e o CUBE
Para comunicações seguras entre o Cisco Unified CM e o CUBE, os parceiros/clientes precisam usar um certificado autoassinado pela CA.
Para certificados autoassinados:
CUBE e Cisco Unified CM geram certificados autoassinados
CUBE exporta certificado para o Cisco Unified CM
O Cisco Unified CM exporta o certificado para o CUBE
Para certificados assinados pela CA:
O cliente gera um par de chaves e envia uma solicitação de autenticação de certificado (CSR) para a Autoridade de certificação (CA)
A CA o assina com sua chave privada, criando um certificado de identidade
O cliente instala a lista de certificados de raiz e intermediários de CA confiáveis e o certificado de identidade
Segurança de terminais remotos
Com os terminais Mobile and Remote Access (MRA), a sinalização e a mídia são sempre criptografadas entre os terminais MRA e os nós do Expressway. Se o protocolo de estabelecimento de conectividade interativa (ICE) for usado para terminais MRA, será necessária sinalização e criptografia de mídia dos terminais MRA. No entanto, a criptografia da sinalização e da mídia entre o Expressway-C e os servidores Unified CM internos, terminais internos ou outros dispositivos internos requer OAuth de modo misto ou SIP.
O Cisco Expressway fornece passagem segura de firewall e suporte do lado da linha para registros do Unified CM . O Unified CM fornece controle de chamadas para terminais móveis e locais. A sinalização percorre a solução Expressway entre o terminal remoto e o Unified CM. A mídia atravessa a solução Expressway e é retransmitida entre os terminais diretamente. Toda a mídia é criptografada entre o Expressway-C e o terminal móvel.
Qualquer solução MRA requer Expressway e Unified CM, com soft clients e/ou terminais fixos compatíveis com MRA. A solução pode, opcionalmente, incluir o serviço de presença e o Unity Connection.
Resumo do protocolo
A tabela a seguir mostra os protocolos e serviços associados usados na solução Unified CM .
Protocolo |
Segurança |
Serviço |
|---|---|---|
SIP |
TLS |
Estabelecimento da sessão: Registrar, convidar, etc. |
HTTPS |
TLS |
Logon, Provisionamento/Configuração, Diretório, Correio de voz visual |
Mídia |
SRTP |
Mídia: Áudio, vídeo, compartilhamento de conteúdo |
XMPP |
TLS |
Mensagens instantâneas, presença, Federação |
Para obter mais informações sobre a configuração do MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opções de configuração
O Instância dedicada oferece ao parceiro flexibilidade para personalizar serviços para usuários finais por meio de controle total das configurações do segundo dia. Como resultado, o Parceiro é o único responsável pela configuração correta do Instância dedicada serviço para o ambiente do usuário final. Isso inclui, mas não se limita a:
Escolher chamadas seguras/não seguras, protocolos seguro/não seguro, como SIP/sSIP, http/https, etc., e entender os riscos associados.
Para todos os endereços MAC não configurados como Secure-SIP em Instância dedicada , um invasor pode enviar uma mensagem de registro SIP usando esse endereço MAC e ser capaz de fazer chamadas SIP, resultando em fraude de tarifação. A condição é que o invasor possa registrar o dispositivo SIP para Instância dedicada sem autorização se eles souberem o endereço MAC de um dispositivo registrado no Instância dedicada .
As políticas de chamadas, as regras de transformação e de pesquisa do Expressway-E devem ser configuradas para impedir fraudes de cobrança de tarifas. Para obter mais informações sobre como impedir fraudes de cobrança de tarifas usando o Expressway, consulte a seção Segurança do Expressway C e Expressway-E da NDSR de colaboração .
Configuração do plano de discagem para garantir que os usuários possam discar apenas para destinos que são permitidos, p. ex., proibir a discagem nacional/internacional, chamadas de emergência são encaminhadas corretamente, etc. Para obter mais informações sobre como aplicar restrições usando o plano de discagem, consulte Plano de discagem seção de Colaboração SRND.
Requisitos de certificado para conexões seguras na Ocorrência dedicada
Para a Instância dedicada, a Cisco fornecerá o domínio e assinará todos os certificados para os aplicativos UC usando uma Autoridade de certificação (CA) pública.
Ocorrência dedicada – números de porta e protocolos
As tabelas a seguir descrevem as portas e os protocolos que são compatíveis com a Instância dedicada. As portas usadas para um determinado cliente dependem da implantação e da solução do Cliente. Os protocolos dependem da preferência do cliente (SCCP vs. SIP), dos dispositivos existentes no local e do nível de segurança para determinar quais portas devem ser usadas em cada implantação.
 |
A Instância dedicada não permite a conversão de endereços de rede (NAT) entre os terminais e o Unified CM , pois alguns dos recursos de fluxo de chamadas não funcionarão, por exemplo , o recurso durante a chamada. |
Instância dedicada – Portas do cliente
As portas disponíveis para clientes - entre a Instância do Cliente local e a Instância dedicada são mostradas na Tabela 1 Portas de cliente de instância dedicada . Todas as portas listadas abaixo são para o tráfego do cliente que atravessa os links de emparelhamento.
|
A porta SNMP está aberta por padrão apenas para que o Cisco Emergency Responder ofereça suporte à sua funcionalidade. Como não oferecemos suporte a parceiros ou clientes para monitorar os aplicativos UC implantados na nuvem de Ocorrência dedicada, não permitimos a abertura de porta SNMP para quaisquer outros aplicativos UC. |
 |
Portas no intervalo de 5063 a 5080 são reservadas pela Cisco para outras integrações de nuvem; é recomendado que administradores de parceiros ou clientes não usem essas portas em suas configurações. |
Protocolo |
TCP/UDP |
Origem |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
Aplicativos UC |
Maior que 1023 |
22 |
Administração |
TFTP |
UDP |
Terminal |
Unified CM |
Maior que 1023 |
69 |
Suporte a endpoints legados |
LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Maior que 1023 |
389 |
Sincronização de diretório para LDAP do cliente |
HTTPS |
TCP |
Navegador |
Aplicativos UC |
Maior que 1023 |
443 |
Acesso Web para interfaces administrativas e de autoatendimento |
Correio de saída (SECURE) |
TCP |
Aplicativo UC |
CUCxn |
Maior que 1023 |
587 |
Usado para compor e enviar mensagens seguras para quaisquer destinatários designados |
LDAP (SEGURO) |
TCP |
Aplicativos UC |
Diretório externo |
Maior que 1023 |
636 |
Sincronização de diretório para LDAP do cliente |
H323 |
TCP |
Entrada |
Unified CM |
Maior que 1023 |
1720 |
Sinalização de chamada |
H323 |
TCP |
Unified CM |
Unified CM |
Maior que 1023 |
1720 |
Sinalização de chamada |
SCCP |
TCP |
Terminal |
Unified CM, CUCxn |
Maior que 1023 |
2000 |
Sinalização de chamada |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Maior que 1023 |
2000 |
Sinalização de chamada |
MGCP |
UDP |
Entrada |
Entrada |
Maior que 1023 |
2427 |
Sinalização de chamada |
Blackhaul do MGCP |
TCP |
Entrada |
Unified CM |
Maior que 1023 |
2428 |
Sinalização de chamada |
SCCP (SEGURO) |
TCP |
Terminal |
Unified CM, CUCxn |
Maior que 1023 |
2443 |
Sinalização de chamada |
SCCP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Maior que 1023 |
2443 |
Sinalização de chamada |
Verificação de confiança |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
2445 |
Fornecendo serviço de verificação de confiança para terminais |
CTI |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
2748 |
Conexão entre aplicativos CTI (JTAPI/TSP) e o CTIManager |
CTI segura |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
2749 |
Conexão segura entre aplicativos CTI (JTAPI/TSP) e o CTIManager |
Catálogo Global LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Maior que 1023 |
3268 |
Sincronização de diretório para LDAP do cliente |
Catálogo Global LDAP |
TCP |
Aplicativos UC |
Diretório externo |
Maior que 1023 |
3269 |
Sincronização de diretório para LDAP do cliente |
Serviço CAPF |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
3804 |
Porta de escuta da CAPF (Função de proxy de Autoridade de certificação ) para emissão de certificados localmente significativos (LSC) para telefones IP |
SIP |
TCP |
Terminal |
Unified CM, CUCxn |
Maior que 1023 |
5060 |
Sinalização de chamada |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Maior que 1023 |
5060 |
Sinalização de chamada |
SIP (SEGURO) |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
5061 |
Sinalização de chamada |
SIP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Maior que 1023 |
5061 |
Sinalização de chamada |
SIP (OAUTH) |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
5090 |
Sinalização de chamada |
XMPP |
TCP |
Cliente Jabber |
Cisco IM&P |
Maior que 1023 |
5222 |
Mensagens instantâneas e presença |
HTTP |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
6970 |
Como fazer download da configuração e das imagens nos terminais |
HTTPS |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
6971 |
Como fazer download da configuração e das imagens nos terminais |
HTTPS |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
6972 |
Como fazer download da configuração e das imagens nos terminais |
HTTP |
TCP |
Cliente Jabber |
CUCxn |
Maior que 1023 |
7080 |
Notificações do correio de voz |
HTTPS |
TCP |
Cliente Jabber |
CUCxn |
Maior que 1023 |
7443 |
Notificações seguras do correio de voz |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maior que 1023 |
7501 |
Usado pelo serviço de busca entre clusters (ILS) para autenticação baseada em certificado |
HTTPS |
TCP |
Unified CM |
Unified CM |
Maior que 1023 |
7502 |
Usado pelo ILS para autenticação baseada em senha |
IMAP |
TCP |
Cliente Jabber |
CUCxn |
Maior que 1023 |
7993 |
IMAP sobre TLS |
HTTP |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
8080 |
URI do diretório para suporte a endpoints legados |
HTTPS |
TCP |
Navegador, ponto de extremidade |
Aplicativos UC |
Maior que 1023 |
8443 |
Acesso web para interfaces administrativas e de autoatendimento, UDS |
HTTPS |
TCP |
Telefone |
Unified CM |
Maior que 1023 |
9443 |
Pesquisa de contatos autenticados |
HTTPs |
TCP |
Terminal |
Unified CM |
Maior que 1023 |
9444 |
Recurso de gerenciamento de fone de ouvido |
RTP/SRTP seguro |
UDP |
Unified CM |
Telefone |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera, Anunciador, Ponte de conferência de software (aberta com base na sinalização de chamada) |
RTP/SRTP seguro |
UDP |
Telefone |
Unified CM |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera, Anunciador, Ponte de conferência de software (aberta com base na sinalização de chamada) |
COBRAS |
TCP |
Cliente |
CUCxn |
Maior que 1023 |
20532 |
Suite de aplicativos de backup e restauração |
ICMP |
ICMP |
Terminal |
Aplicativos UC |
n/a |
n/a |
Ping |
ICMP |
ICMP |
Aplicativos UC |
Terminal |
n/a |
n/a |
Ping |
* Alguns casos especiais podem usar um intervalo maior. |
||||||
Ocorrência dedicada – Portas OTT
A seguinte porta pode ser usada por Clientes e parceiros para configuração do Mobile and Remote Access (MRA):
Protocolo |
TCP/UCP |
Origem |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
|---|---|---|---|---|---|---|
RTP/RTCP SEGURO |
UDP |
Via expressa C |
Cliente |
Maior que 1023 |
36000-59999 |
Mídia segura para chamadas MRA e B2B |
Tronco SIP entre vários locatários e ocorrência dedicada (apenas para tronco baseado no registro)
A seguinte lista de portas precisa ser permitida no firewall do cliente para o tronco SIP baseado no registro que conecta entre o Multi-locatário e a Ocorrência dedicada.
Protocolo |
TCP/UCP |
Origem |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
|---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Vários locatários do Webex Calling |
Cliente |
Maior que 1023 |
8000-48198 |
Mídia do Webex Calling para vários locatários |
Ocorrência dedicada – portas UCCX
A seguinte lista de portas pode ser usada por clientes e parceiros para configurar o UCCX.
Protocolo |
TCP/UCP |
Origem |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
UCCX |
Maior que 1023 |
22 |
SFTP e SSH |
Informix |
TCP |
Cliente ou servidor |
UCCX |
Maior que 1023 |
1504 |
Porta do banco de dados do Unified CCX |
SIP |
UDP e TCP |
Servidor SIP GW ou MCRP |
UCCX |
Maior que 1023 |
5065 |
Comunicação com nós GW e MCRP remotos |
XMPP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
5223 |
Conexão XMPP segura entre o servidor Finesse e aplicativos personalizados de terceiros |
DCV |
TCP |
Cliente |
UCCX |
Maior que 1023 |
6999 |
Editor para aplicativos CCX |
HTTPS |
TCP |
Cliente |
UCCX |
Maior que 1023 |
7443 |
Conexão BOSH segura entre o servidor Finesse e os desktops do agente e do supervisor para comunicação por HTTPS |
HTTP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8080 |
Os clientes de relatórios de dados dinâmicos se conectam ao servidor socket.IO |
HTTP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8081 |
Navegador do cliente tentando acessar a interface da Web do Cisco Unified Intelligence Center |
HTTP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8443 |
GUI de administração, RTMT, acesso ao BD via SOAP |
HTTPS |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8444 |
interface da Web do Cisco Unified Intelligence Center |
HTTPS |
TCP |
Clientes navegador e REST |
UCCX |
Maior que 1023 |
8445 |
Porta segura para Finesse |
HTTPS |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8447 |
HTTPS - Ajuda on-line do Unified Intelligence Center |
HTTPS |
TCP |
Cliente |
UCCX |
Maior que 1023 |
8553 |
Os componentes de registro único (SSO) acessam essa interface para saber o status operacional do Cisco IdS. |
HTTP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
9080 |
Clientes que tentam acessar gatilhos HTTP ou documentos/prompts/gramáticas/ dados reais dinâmicos. |
HTTPS |
TCP |
Cliente |
UCCX |
Maior que 1023 |
9443 |
Porta segura usada para responder a clientes que tentam acessar gatilhos HTTPS |
TCP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
12014 |
Esta é a porta em que os clientes de relatório de dados em tempo real podem se conectar ao servidor socket.IO |
TCP |
TCP |
Cliente |
UCCX |
Maior que 1023 |
12015 |
Esta é a porta em que os clientes de relatório de dados em tempo real podem se conectar ao servidor socket.IO |
CTI |
TCP |
Cliente |
UCCX |
Maior que 1023 |
12028 |
Cliente CTI de terceiros para CCX |
RTP (mídia) |
TCP |
Terminal |
UCCX |
Maior que 1023 |
Maior que 1023 |
A porta de mídia é aberta dinamicamente conforme necessário |
RTP (mídia) |
TCP |
Cliente |
Terminal |
Maior que 1023 |
Maior que 1023 |
A porta de mídia é aberta dinamicamente conforme necessário |
segurança do Cliente
Protegendo Jabber e Webex com SIP OAuth
Os clientes Jabber e Webex são autenticados por meio de um token OAuth em vez de um certificado localmente significativo (LSC), que não requer a ativação da CAPF ( função de proxy de autoridade de certificação ) (para MRA também). O SIP OAuth que funciona com ou sem modo misto foi introduzido no Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.
No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando um único token de Segurança da camada de transporte (TLS) + OAuth no SIP REGISTER. Os nós do Expressway-C usam a API do serviço administrativo XML Web (AXL) para informar ao Cisco Unified CM sobre o SN/SAN em seus certificados. O Cisco Unified CM usa essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútua.
O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de terminal (LSC).
O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 via conexão HTTPS para o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.
Mais detalhes sobre a configuração do SIP OAuth: Modo de autenticação SIP .
Requisitos DNS
Para uma instância dedicada, a Cisco fornece o FQDN para o serviço em cada região com o seguinte formato<customer> .<region> .wxc-di.webex.com por exemplo, xyz.amer.wxc-di.webex.com .
O valor "cliente" é fornecido pelo administrador como parte do Assistente de primeira instalação inicial (FTSW). Para obter mais informações, consulte Ativação do serviço de instância dedicado .
Os registros DNS para este FQDN precisam ser resolvidos do servidor DNS interno do cliente para oferecer suporte a dispositivos no local que se conectam à Instância dedicada. Para facilitar a resolução, o cliente precisa configurar um encaminhador condicional, para este FQDN, no servidor DNS, apontando para o serviço DNS de instância dedicado. O serviço DNS de Instância dedicado é regional e pode ser contatado através do emparelhamento com a Instância dedicada, usando os seguintes endereços de IP, conforme mencionado na tabela abaixo Endereço de IP do serviço DNS da instância dedicado .
Região/DC |
Endereço de IP do serviço DNS da instância dedicado | Exemplo de encaminhamento condicional |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
A opção de ping é desativada para os endereços IP do servidor DNS mencionados acima por motivos de segurança. |
Até que o encaminhamento condicional esteja em vigor, os dispositivos não poderão se registrar na Instância dedicada a partir da rede interna dos clientes por meio dos links de emparelhamento. O encaminhamento condicional não é necessário para o registro via Mobile and Remote Access (MRA), pois todos os registros DNS externos necessários para facilitar a MRA serão pré-provisionados pela Cisco.
Ao usar o aplicativo Webex como seu cliente de software de chamada em uma Instância dedicada, um perfil de gerente de UC precisa ser configurado no Control Hub para o domínio de serviço de voz (VSD) de cada região. Para obter mais informações, consulte Perfis do UC Manager no Cisco Webex Control Hub . O aplicativo Webex será capaz de resolver automaticamente o Expressway Edge do cliente sem qualquer intervenção do usuário final .
|
O Domínio do serviço de voz será fornecido ao cliente como parte do documento de acesso do parceiro assim que a ativação do serviço for concluída. |
Referências
Cisco Collaboration 12.x Solution Reference Designs de rede (SRND), tópico de segurança: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Guia de segurança para o Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
