- Página inicial
- /
- Artigo
Os requisitos de rede e segurança da solução de Ocorrência dedicada são a abordagem em camadas dos recursos e funcionalidades que fornecem acesso físico seguro, rede, terminais e aplicativos Cisco UC. Ele descreve os requisitos de rede e lista os endereços, portas e protocolos usados para conectar seus endpoints aos serviços.
Requisitos de rede da ocorrência dedicada
A Ocorrência dedicada do Webex Calling faz parte do portfólio de chamadas em nuvem da Cisco, desenvolvido pela tecnologia de colaboração Cisco Unified Communications Manager (Cisco Unified CM). A Ocorrência dedicada oferece soluções de voz, vídeo, mensagens e mobilidade com os recursos e benefícios dos telefones IP Cisco, dispositivos móveis e clientes de desktop que se conectam com segurança à Ocorrência dedicada.
Este artigo é destinado a administradores de rede, principalmente administradores de firewall e segurança de proxy que desejam usar a Ocorrência dedicada dentro da organização.
Visão geral da segurança: Segurança em camadas
A Ocorrência dedicada usa uma abordagem em camadas para segurança. As camadas incluem:
-
Acesso físico
-
Rede
-
Terminais
-
Aplicativos UC
As seções a seguir descrevem as camadas de segurança em implantações de Ocorrência dedicada.
Segurança física
É importante fornecer segurança física aos locais de salas do Equinix Meet-Me e às instalações do Data Center de ocorrência dedicada da Cisco. Quando a segurança física é comprometida, ataques simples, como interrupção do serviço, ao desligar a energia dos switches de um cliente, podem ser iniciados. Com o acesso físico, os invasores podem obter acesso a dispositivos de servidor, redefinir senhas e obter acesso a switches. O acesso físico também facilita ataques mais sofisticados, como ataques man-in-the-middle, e é por isso que a segunda camada de segurança, a segurança da rede, é fundamental.
As unidades de autocriptografia são usadas em Data Centers de ocorrência dedicada que hospedam aplicativos UC.
Para obter mais informações sobre práticas de segurança gerais, consulte a documentação no seguinte local: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html .
Segurança da rede
Os parceiros precisam garantir que todos os elementos de rede sejam protegidos na infraestrutura da Ocorrência dedicada (que se conecta via Equinix). É responsabilidade do parceiro garantir as práticas recomendadas de segurança, como:
-
VLAN separada para voz e dados
-
Habilite a Segurança de porta que limita o número de endereços MAC permitidos por porta, contra inundações na tabela CAM
-
Protetor de origem IP contra endereços IP falsificados
-
A Inspeção Dinâmica ARP (DAI) examina o protocolo de resolução de endereços (ARP) e o ARP gratuito (GARP) para violações (contra falsificação ARP)
-
O 802.1x limita o acesso à rede para autenticar dispositivos em VLANs atribuídas (os telefones suportam 802.1x)
-
Configuração da qualidade de serviço (QoS) para a marcação apropriada de pacotes de voz
-
Configurações de portas de firewall para bloquear qualquer outro tráfego
Segurança de endpoints
Os terminais da Cisco suportam recursos de segurança padrão, como firmware assinado, inicialização segura (modelos selecionados), certificado instalado pelo fabricante (MIC) e arquivos de configuração assinados, que fornecem um certo nível de segurança para terminais.
Além disso, um parceiro ou cliente pode permitir segurança adicional, como:
-
Criptografar serviços de telefonia IP (via HTTPS) para serviços como Extension Mobility
-
Emitir certificados localmente significativos (LSCs) da função de proxy de autoridade de certificação (CAPF) ou de uma autoridade de certificação pública (CA)
-
Criptografar arquivos de configuração
-
Criptografar mídia e sinalização
-
Desative essas configurações se elas não forem usadas: porta do PC, acesso à VLAN de voz do PC, ARP gratuito, acesso à web, botão Configurações, SSH, console
A implementação de mecanismos de segurança na Ocorrência dedicada evita o roubo de identidade dos telefones e do servidor Unified CM, adulteração de dados e adulteração da sinalização de chamadas/transmissão de mídia.
Ocorrência dedicada pela rede:
-
Estabelece e mantém fluxos de comunicação autenticados
-
Assina arquivos digitalmente antes de transferir o arquivo para o telefone
-
Criptografa fluxos de mídia e sinalização de chamadas entre telefones IP Cisco Unified
A segurança por padrão fornece os seguintes recursos de segurança automática para telefones IP Cisco Unified:
-
Assinatura dos arquivos de configuração do telefone
-
Suporte para criptografia de arquivos de configuração do telefone
-
HTTPS com Tomcat e outros serviços Web (MIDlets)
Para o Unified CM versão 8.0 posterior, esses recursos de segurança são fornecidos por padrão sem executar o cliente CTL (Lista de certificados confiáveis).
Serviço de verificação de confiançaComo há um grande número de telefones em uma rede e os telefones IP têm memória limitada, o Cisco Unified CM atua como um armazenamento de confiança remota por meio do Serviço de verificação de confiança (TVS), de modo que um armazenamento de confiança de certificado não precise ser colocado em cada telefone. Os telefones IP Cisco entram em contato com o servidor TVS para verificação porque não podem verificar uma assinatura ou certificado por meio de arquivos CTL ou ITL. É mais fácil gerenciar um armazenamento de confiança central do que ter um armazenamento de confiança em cada telefone IP Cisco Unified.
O TVS permite que os telefones IP Cisco Unified autentiquem servidores de aplicativos, como serviços EM, diretório e MIDlet, durante a definição HTTPS.
Lista inicial de confiançaO arquivo Lista de confiança inicial (ITL) é usado para a segurança inicial, de modo que os terminais possam confiar no Cisco Unified CM. O ITL não precisa de recursos de segurança para ser ativado explicitamente. O arquivo ITL é criado automaticamente quando o grupo está instalado. A chave privada do servidor do protocolo TFTP (Trivial File Transfer Protocol) do Unified CM é usada para assinar o arquivo ITL.
Quando o cluster ou servidor do Cisco Unified CM está no modo não seguro, o arquivo ITL é baixado em todos os telefones IP Cisco compatíveis. Um parceiro pode visualizar o conteúdo de um arquivo ITL usando o comando CLI, admin:show itl.
Os telefones IP Cisco precisam do arquivo ITL para executar as seguintes tarefas:
-
Comunique-se com segurança à CAPF, um pré-requisito para suportar a criptografia de arquivos de configuração
-
Autenticar a assinatura do arquivo de configuração
-
Autenticar servidores de aplicativos, como serviços EM, diretório e MIDlet durante o estabelecimento HTTPS usando TVS
A autenticação de dispositivo, arquivo e sinalização depende da criação do arquivo CTL (Lista de certificados confiáveis), que é criado quando o parceiro ou cliente instala e configura o cliente da Lista de certificados confiáveis da Cisco.
O arquivo CTL contém entradas para os seguintes servidores ou tokens de segurança:
-
Token de segurança do administrador do sistema (SAST)
-
Cisco CallManager e serviços Cisco TFTP que estão em execução no mesmo servidor
-
Função de proxy de autoridade de certificação (CAPF)
-
Servidor(es) TFTP
-
firewall ASA
O arquivo CTL contém um certificado de servidor, chave pública, número de série, assinatura, nome do emissor, nome do assunto, função do servidor, nome DNS e endereço IP para cada servidor.
A segurança do telefone com CTL fornece as seguintes funções:
-
Autenticação de arquivos baixados TFTP (configuração, localidade, lista de toques e assim por diante) usando uma chave de assinatura
-
Criptografia de arquivos de configuração TFTP usando uma chave de assinatura
-
Sinalização de chamada criptografada para telefones IP
-
Áudio de chamada criptografada (mídia) para telefones IP
A Ocorrência dedicada fornece registro de endpoint e processamento de chamadas. A sinalização entre o Cisco Unified CM e os terminais é baseada no protocolo SCCP (Secure Skinny Client Control Protocol) ou no SIP (Session Initiation Protocol) e pode ser criptografada usando TLS (Transport Layer Security). A mídia de/para os terminais é baseada no protocolo RTP (Real-time Transport Protocol) e também pode ser criptografada usando o RTP seguro (Secure RTP).
A ativação do modo misto no Unified CM permite a criptografia da sinalização e do tráfego de mídia de e para os terminais da Cisco.
Aplicativos de UC seguros
Ativando o modo misto na ocorrência dedicadaO modo misto é ativado por padrão na Ocorrência dedicada.
A ativação do modo misto na Ocorrência dedicada permite executar a criptografia da sinalização e do tráfego de mídia de e para os terminais da Cisco.
No Cisco Unified CM versão 12.5(1), uma nova opção para ativar a criptografia de sinalização e mídia com base no SIP OAuth em vez do modo misto / CTL foi adicionada para clientes Jabber e Webex. Portanto, na versão 12.5(1) do Unified CM, o SIP OAuth e o SRTP podem ser usados para ativar criptografia para sinalização e mídia para clientes Jabber ou Webex. A ativação do modo misto continua sendo necessária para telefones IP Cisco e outros terminais Cisco no momento. Há um plano para adicionar suporte ao SIP OAuth em terminais 7800/8800 em uma versão futura.
Segurança de mensagens de vozO Cisco Unity Connection se conecta ao Unified CM por meio da porta TLS. Quando o modo de segurança do dispositivo não é seguro, o Cisco Unity Connection se conecta ao Unified CM por meio da porta SCCP.
Para configurar a segurança de portas de mensagens de voz do Unified CM e dispositivos Cisco Unity que estão executando dispositivos SCCP ou Cisco Unity Connection que estão executando SCCP, um parceiro pode escolher um modo de segurança de dispositivo seguro para a porta. Se você escolher uma porta de correio de voz autenticada, uma conexão TLS será aberta, a qual autentica os dispositivos usando uma troca de certificado mútuo (cada dispositivo aceita o certificado do outro dispositivo). Se você escolher uma porta de correio de voz criptografada, o sistema primeiro autentica os dispositivos e, em seguida, envia fluxos de voz criptografados entre os dispositivos.
Para obter mais informações sobre as portas de mensagens de voz de segurança, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Segurança para SRST, Troncos, Gateways, CUBE/SBC
Um gateway habilitado para SRST (Survivable Remote Site Telephony) do Cisco Unified fornece tarefas limitadas de processamento de chamadas se o Cisco Unified CM na Ocorrência dedicada não puder concluir a chamada.
Os gateways habilitados para SRST seguros contêm um certificado autoassinado. Depois que um parceiro executa as tarefas de configuração SRST no Unified CM Administration, o Unified CM usa uma conexão TLS para autenticar com o serviço Provedor de certificados no gateway habilitado para SRST. O Unified CM então recupera o certificado do gateway habilitado para SRST e adiciona o certificado ao banco de dados do Unified CM.
Depois que o parceiro redefine os dispositivos dependentes no Unified CM Administration, o servidor TFTP adiciona o certificado de gateway habilitado para SRST ao arquivo cnf.xml do telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o gateway habilitado para SRST.
Recomenda-se ter troncos seguros para a chamada originada do Cisco Unified CM para o gateway de chamadas PSTN de saída ou passagem através do Cisco Unified Border Element (CUBE).
Os troncos SIP podem suportar chamadas seguras tanto para sinalização quanto para mídia; o TLS fornece criptografia de sinalização e o SRTP fornece criptografia de mídia.
Protegendo comunicações entre o Cisco Unified CM e o CUBE
Para comunicações seguras entre o Cisco Unified CM e o CUBE, parceiros/clientes precisam usar certificados autoassinados ou certificados assinados por CA.
Para certificados autoassinados:
-
O CUBE e o Cisco Unified CM geram certificados autoassinados
-
CUBE exporta certificado para o Cisco Unified CM
-
O Cisco Unified CM exporta certificado para CUBE
Para certificados assinados pela CA:
-
O cliente gera um par de chaves e envia uma solicitação de assinatura de certificado (CSR) para a autoridade de certificação (CA)
-
A CA assina com sua chave privada, criando um certificado de identidade
-
O cliente instala a lista de certificados raiz e intermediários de CA confiáveis e o certificado de identidade
Segurança de terminais remotos
Com os terminais de acesso móvel e remoto (MRA), a sinalização e a mídia são sempre criptografadas entre os terminais MRA e os nós Expressway. Se o protocolo de Estabelecimento de conectividade interativa (ICE) for usado para terminais MRA, será necessária a sinalização e a criptografia de mídia dos terminais MRA. No entanto, a criptografia da sinalização e da mídia entre o Expressway-C e os servidores internos do Unified CM, os terminais internos ou outros dispositivos internos exigem o modo misto ou o SIP OAuth.
O Cisco Expressway fornece suporte seguro para passagem de firewall e lado da linha para registros do Unified CM. O Unified CM fornece controle de chamadas para terminais móveis e locais. A sinalização atravessa a solução Expressway entre o terminal remoto e o Unified CM. A mídia atravessa a solução Expressway e é retransmitida entre os terminais diretamente. Todas as mídias são criptografadas entre o Expressway-C e o terminal móvel.
Qualquer solução MRA requer o Expressway e o Unified CM, com soft clients compatíveis com MRA e/ou terminais fixos. A solução pode, opcionalmente, incluir o serviço de IM e presença e o Unity Connection.
Resumo do protocolo
A tabela a seguir mostra os protocolos e serviços associados usados na solução do Unified CM.
Protocolo |
Segurança |
Serviço |
---|---|---|
SIP |
TLS |
Estabelecimento da sessão: Registrar, convidar, etc. |
HTTPS |
TLS |
Logon, provisionamento/configuração, diretório, correio de voz visual |
Mídia |
SRTP |
Mídia: Áudio, Vídeo, Compartilhamento de conteúdo |
XMPP |
TLS |
Mensagens Instantâneas, Presença, Federação |
Para obter mais informações sobre a configuração do MRA, consulte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opções de configuração
A Ocorrência dedicada fornece ao Parceiro flexibilidade para personalizar serviços para usuários finais por meio do controle total das configurações do segundo dia. Como resultado, o Parceiro é o único responsável pela configuração adequada do serviço de Ocorrência dedicada para o ambiente do usuário final. Isso inclui, mas não se limita a:
-
Escolhendo chamadas seguras/não seguras, protocolos seguros/não seguros, como SIP/sSIP, http/https etc. e entendendo quaisquer riscos associados.
-
Em todos os endereços MAC não configurados como SIP seguro na Ocorrência dedicada, um invasor pode enviar uma mensagem de registro SIP usando esse endereço MAC e ser capaz de fazer chamadas SIP, resultando em fraude de tarifa. O pré-requisito é que o invasor possa registrar seu dispositivo SIP/software na Ocorrência dedicada sem autorização se souber o endereço MAC de um dispositivo registrado na Ocorrência dedicada.
-
As políticas de chamadas do Expressway-E, transformação e regras de pesquisa devem ser configuradas para evitar fraudes de tarifas. Para obter mais informações sobre como evitar fraudes tarifadas usando Expressways, consulte a seção Segurança para Expressway C e Expressway-E do Collaboration SRND .
-
Configuração do plano de discagem para garantir que os usuários só possam discar destinos permitidos, por exemplo, proibir discagem nacional/internacional, as chamadas de emergência serão encaminhadas corretamente, etc. Para obter mais informações sobre a aplicação de restrições usando o plano de discagem, consulte a seção Dial Plan do Collaboration SRND.
Requisitos de certificado para conexões seguras na Ocorrência dedicada
Para a Ocorrência dedicada, a Cisco fornecerá o domínio e assinará todos os certificados para os aplicativos UC usando uma CA (autoridade de certificação) pública.
Ocorrência dedicada – números de porta e protocolos
As tabelas a seguir descrevem as portas e protocolos suportados na Ocorrência dedicada. As portas que são usadas para um determinado cliente dependem da implantação e da solução do Cliente. Os protocolos dependem da preferência do cliente (SCCP x SIP), dos dispositivos locais existentes e de qual nível de segurança determinar quais portas devem ser usadas em cada implantação.
A Ocorrência dedicada não permite a Tradução de endereços de rede (NAT) entre os terminais e o Unified CM, pois alguns dos recursos de fluxo de chamada não funcionarão, por exemplo, o recurso durante a chamada. |
Ocorrência dedicada – Portas do cliente
As portas disponíveis para os clientes - entre a Ocorrência dedicada e no local do cliente são mostradas na Tabela 1 Portas do cliente de ocorrência dedicada . Todas as portas listadas abaixo são para o tráfego do cliente que atravessa os links de emparelhamento.
A porta SNMP está aberta por padrão apenas para que o Cisco Emergency Responder ofereça suporte à sua funcionalidade. Como não oferecemos suporte a parceiros ou clientes para monitorar os aplicativos UC implantados na nuvem de Ocorrência dedicada, não permitimos a abertura de porta SNMP para quaisquer outros aplicativos UC. |
As portas no intervalo de 5063 a 5080 são reservadas pela Cisco para outras integrações de nuvem, parceiros ou administradores de clientes são recomendados para não usar essas portas em suas configurações. |
Protocolo |
TCP/UDP |
Fonte |
Destino |
Porta de origem |
Porta de destino |
Finalidade | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
Aplicativos UC
|
Superior a 1023 |
22 |
Administração |
||
TFTP |
UDP |
Terminal |
Unified CM |
Superior a 1023 |
69 |
Suporte ao terminal herdado |
||
LDAP |
TCP |
Aplicativos UC |
Diretório Externo |
Superior a 1023 |
389 |
Sincronização de diretório com o LDAP do cliente |
||
HTTPS |
TCP |
Navegador |
Aplicativos UC |
Superior a 1023 |
443 |
Acesso à web para interfaces administrativas e de autoatendimento |
||
Correio De Saída (SEGURO) |
TCP |
Aplicativo UC |
CUCxn |
Superior a 1023 |
587 |
Usado para compor e enviar mensagens seguras para qualquer destinatário designado |
||
LDAP (SEGURO) |
TCP |
Aplicativos UC |
Diretório Externo |
Superior a 1023 |
636 |
Sincronização de diretório com o LDAP do cliente |
||
H323 |
TCP |
Gateway |
Unified CM |
Superior a 1023 |
1720 |
Sinalização de chamada |
||
H323 |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
1720 |
Sinalização de chamada |
||
SCCP |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
2000 |
Sinalização de chamada |
||
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
2000 |
Sinalização de chamada |
||
MGCP |
UDP |
Gateway |
Gateway |
Superior a 1023 |
2427 |
Sinalização de chamada |
||
Backup MGCP |
TCP |
Gateway |
Unified CM |
Superior a 1023 |
2428 |
Sinalização de chamada |
||
SCCP (SEGURO) |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
2443 |
Sinalização de chamada |
||
SCCP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
2443 |
Sinalização de chamada |
||
Verificação de confiança |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2445 |
Fornecer serviço de verificação de confiança aos terminais |
||
CTI |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2748 |
Conexão entre aplicativos CTI (JTAPI/TSP) e CTIManager |
||
CTI seguro |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
2749 |
Conexão segura entre aplicativos CTI (JTAPI/TSP) e CTIManager |
||
Catálogo global LDAP |
TCP |
Aplicativos UC |
Diretório Externo |
Superior a 1023 |
3268 |
Sincronização de diretório com o LDAP do cliente |
||
Catálogo global LDAP |
TCP |
Aplicativos UC |
Diretório Externo |
Superior a 1023 |
3269 |
Sincronização de diretório com o LDAP do cliente |
||
Serviço CAPF |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
3804 |
Porta de escuta da função de proxy de autoridade de certificação (CAPF) para emissão de certificados localmente significativos (LSC) para telefones IP |
||
SIP |
TCP |
Terminal |
Unified CM, CUCxn |
Superior a 1023 |
5060 |
Sinalização de chamada |
||
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
5060 |
Sinalização de chamada |
||
SIP (SEGURO) |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
5061 |
Sinalização de chamada |
||
SIP (SEGURO) |
TCP |
Unified CM |
Unified CM, Gateway |
Superior a 1023 |
5061 |
Sinalização de chamada |
||
SIP (OAUTH) |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
5090 |
Sinalização de chamada |
||
XMPP |
TCP |
Cliente Jabber |
Cisco IM&P |
Superior a 1023 |
5222 |
Mensagens instantâneas e presença |
||
HTTP |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6970 |
Baixando configuração e imagens para terminais |
||
HTTPS |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6971 |
Baixando configuração e imagens para terminais |
||
HTTPS |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
6972 |
Baixando configuração e imagens para terminais |
||
HTTP |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7080 |
Notificações de correio de voz |
||
HTTPS |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7443 |
Notificações seguras de correio de voz |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
7501 |
Usado pelo serviço de busca entre clusters (ILS) para autenticação baseada em certificado |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
Superior a 1023 |
7502 |
Usado pelo ILS para autenticação baseada em senha |
||
IMAP |
TCP |
Cliente Jabber |
CUCxn |
Superior a 1023 |
7993 |
IMAP sobre TLS |
||
HTTP |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
8080 |
URI do diretório para suporte a endpoint herdado |
||
HTTPS |
TCP |
Navegador, Terminal |
Aplicativos UC |
Superior a 1023 |
8443 |
Acesso à web para interfaces administrativas e de autoatendimento, UDS |
||
HTTPS |
TCP |
Telefone |
Unified CM |
Superior a 1023 |
9443 |
Pesquisa de contatos autenticada |
||
HTTPs |
TCP |
Terminal |
Unified CM |
Superior a 1023 |
9444 |
Recurso de gerenciamento do fone de ouvido |
||
RTP/SRTP seguro |
UDP |
Unified CM |
Telefone |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera, Anunciador, Ponte de conferência de software (Abrir com base na sinalização de chamadas) |
||
RTP/SRTP seguro |
UDP |
Telefone |
Unified CM |
16384 a 32767 * |
16384 a 32767 * |
Mídia (áudio) - Música em espera, Anunciador, Ponte de conferência de software (Abrir com base na sinalização de chamadas) |
||
COBRAS |
TCP |
Cliente |
CUCxn |
Superior a 1023 |
20532 |
Fazer backup e restaurar o pacote de aplicativos |
||
ICMP |
ICMP |
Terminal |
Aplicativos UC |
n/a |
n/a |
Ping |
||
ICMP |
ICMP |
Aplicativos UC |
Terminal |
n/a |
n/a |
Ping |
||
DNS | UDP e TCP |
encaminhador DNS |
Servidores DNS de ocorrência dedicada |
Superior a 1023 |
53 |
Encaminhadores DNS do local do cliente para servidores DNS de ocorrência dedicada. Consulte Requisitos DNS para obter mais informações. |
||
* Certos casos especiais podem usar um intervalo maior. |
Ocorrência dedicada – Portas OTT
A seguinte porta pode ser usada por clientes e parceiros para configuração de acesso móvel e remoto (MRA):
Protocolo |
TCP/UCP |
Fonte |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
---|---|---|---|---|---|---|
RTP/RTCP SEGURO |
UDP |
Expressway C |
Cliente |
Superior a 1023 |
36000-59999 |
Mídia segura para chamadas MRA e B2B |
Tronco SIP entre vários locatários e ocorrência dedicada (apenas para tronco baseado em registro)
A seguinte lista de portas precisa ser permitida no firewall do cliente para o tronco SIP baseado em registro que conecta entre o Multilocatário e a Ocorrência dedicada.
Protocolo |
TCP/UCP |
Fonte |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Multilocatário do Webex Calling |
Cliente |
Superior a 1023 |
8000-48198 |
Mídia do multilocatário do Webex Calling |
Ocorrência dedicada – portas UCCX
A seguinte lista de portas pode ser usada por Clientes e Parceiros para configurar o UCCX.
Protocolo |
TCP/UCP |
Fonte |
Destino |
Porta de origem |
Porta de destino |
Finalidade |
---|---|---|---|---|---|---|
SSH |
TCP |
Cliente |
UCCX |
Superior a 1023 |
22 |
SFTP e SSH |
Informix |
TCP |
Cliente ou servidor |
UCCX |
Superior a 1023 |
1504 |
porta do banco de dados do Contact Center Express |
SIP |
UDP e TCP |
servidor GW ou MCRP SIP |
UCCX |
Superior a 1023 |
5065 |
Comunicação com nós GW e MCRP remotos |
XMPP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
5223 |
Conexão XMPP segura entre o servidor Finesse e aplicativos personalizados de terceiros |
CVD |
TCP |
Cliente |
UCCX |
Superior a 1023 |
6999 |
Editor para aplicativos CCX |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
7443 |
Conexão segura BOSH entre o servidor Finesse e os desktops de agentes e supervisores para comunicação por HTTPS |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8080 |
Clientes de relatórios de dados dinâmicos se conectam a um servidor socket.IO |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8081 |
Navegador do cliente tentando acessar a interface da Web do Cisco Unified Intelligence Center |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8443 |
GUI de administração, RTMT, acesso DB sobre SOAP |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8444 |
Interface da Web do Cisco Unified Intelligence Center |
HTTPS |
TCP |
Clientes do navegador e REST |
UCCX |
Superior a 1023 |
8445 |
Porta segura para o Finesse |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8447 |
HTTPS - Ajuda on-line do Unified Intelligence Center |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
8553 |
Os componentes de registro único (SSO) acessam esta interface para saber o status operacional do Cisco IdS. |
HTTP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
9080 |
Clientes tentando acessar gatilhos HTTP ou documentos / prompts / grammars / dados ao vivo. |
HTTPS |
TCP |
Cliente |
UCCX |
Superior a 1023 |
9443 |
Porta segura usada para responder a clientes que tentam acessar gatilhos HTTPS |
TCP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12014 |
Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO |
TCP |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12015 |
Esta é a porta onde os clientes de relatórios de dados reais podem se conectar ao servidor socket.IO |
CTI |
TCP |
Cliente |
UCCX |
Superior a 1023 |
12028 |
Cliente CTI de terceiros para CCX |
RTP (Mídia) |
TCP |
Terminal |
UCCX |
Superior a 1023 |
Superior a 1023 |
A porta de mídia é aberta dinamicamente conforme necessário |
RTP (Mídia) |
TCP |
Cliente |
Terminal |
Superior a 1023 |
Superior a 1023 |
A porta de mídia é aberta dinamicamente conforme necessário |
segurança do Cliente
Protegendo o Jabber e o Webex com SIP OAuth
Os clientes Jabber e Webex são autenticados por meio de um token OAuth em vez de um certificado localmente significativo (LSC), que não exige a ativação da função de proxy de autoridade de certificação (CAPF) (para MRA também). O SIP OAuth trabalhando com ou sem modo misto foi introduzido no Cisco Unified CM 12.5(1), Jabber 12.5 e Expressway X12.5.
No Cisco Unified CM 12.5, temos uma nova opção no Perfil de segurança do telefone que permite criptografia sem LSC/CAPF, usando o token TLS (Transport Layer Security) + OAuth único no SIP REGISTER. Os nós do Expressway-C usam a API do Serviço Web XML administrativo (AXL) para informar o Cisco Unified CM do SN/SAN no certificado. O Cisco Unified CM usa essas informações para validar o certificado Exp-C ao estabelecer uma conexão TLS mútua.
O SIP OAuth permite a criptografia de mídia e sinalização sem um certificado de endpoint (LSC).
O Cisco Jabber usa portas efêmeras e portas seguras 6971 e 6972 portas por meio da conexão HTTPS com o servidor TFTP para baixar os arquivos de configuração. A porta 6970 é uma porta não segura para download via HTTP.
Mais detalhes sobre a configuração do SIP OAuth: Modo SIP OAuth .
Requisitos DNS
Para a Ocorrência dedicada, a Cisco fornece o FQDN para o serviço em cada região com o seguinte formato<customer>.<region>.wxc-di.webex.com por exemplo, xyz.amer.wxc-di.webex.com .
O valor do "cliente" é fornecido pelo administrador como parte do Assistente de primeira instalação (FTSW). Para obter mais informações, consulte Ativação do serviço de ocorrência dedicada .
Os registros DNS para este FQDN precisam ser resolvidos do servidor DNS interno do cliente para suportar dispositivos no local que se conectam à Ocorrência dedicada. Para facilitar a resolução, o cliente precisa configurar um encaminhador condicional, para este FQDN, em seu servidor DNS apontando para o serviço DNS da ocorrência dedicada. O serviço DNS de ocorrência dedicada é regional e pode ser alcançado, por meio do emparelhamento com a ocorrência dedicada, usando os seguintes endereços IP conforme mencionado na tabela abaixo Endereço IP de serviço DNS de ocorrência dedicada .
Região/DC | Endereço IP do serviço DNS da ocorrência dedicada |
Exemplo de encaminhamento condicional |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LONGO |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
PECADO |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
A opção ping é desativada para os endereços IP do servidor DNS acima mencionados por motivos de segurança. |
Até que o encaminhamento condicional esteja em vigor, os dispositivos não poderão se registrar na Ocorrência dedicada da rede interna dos clientes por meio dos links de emparelhamento. O encaminhamento condicional não é necessário para registro via Mobile and Remote Access (MRA), pois todos os registros DNS externos necessários para facilitar o MRA serão pré-provisionados pela Cisco.
Ao usar o aplicativo Webex como seu soft client de chamadas na Ocorrência dedicada, um perfil do UC Manager precisa ser configurado no Control Hub para o domínio de serviço de voz (VSD) de cada região. Para obter mais informações, consulte Perfis do Gerenciador de UC no Cisco Webex Control Hub . O aplicativo Webex poderá resolver automaticamente o Expressway Edge do cliente sem qualquer intervenção do usuário final.
O domínio do serviço de voz será fornecido ao cliente como parte do documento de acesso do parceiro assim que a ativação do serviço for concluída. |
Usar um roteador local para resolução DNS do telefone
Para telefones que não têm acesso aos servidores DNS corporativos, é possível usar um roteador Cisco local para encaminhar solicitações DNS ao DNS em nuvem de ocorrência dedicada. Isso remove a necessidade de implantar um servidor DNS local e fornece suporte DNS completo, incluindo cache.
Exemplo de configuração :
!
servidor ip dns
Nome IP-servidor <DI DNS Server IP DC1> <DI DNS Server IP DC2>
!
O uso do DNS neste modelo de implantação é específico para telefones e só pode ser usado para resolver FQDN com o domínio da Ocorrência dedicada dos clientes. |
Referências
-
Designs de rede de referência da solução (SRND) do Cisco Collaboration 12.x, tópico Segurança: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Guia de segurança para o Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html