- Pagină de pornire
- /
- Articol
Cerințele de securitate pentru Webex Calling
În acest articolAcest articol este destinat administratorilor de rețea, în special administratorilor de firewall și de securitate proxy care doresc să utilizeze Webex Calling în cadrul organizației lor.
Pentru a cunoaște informațiile de referință privind porturile pentru firewall și cerințele privind accesul, consultați Informații de referință privind porturile pentru Cisco Webex Calling.
Cerințe pentru terminale
Webex Calling Edge
Pentru a efectua o înregistrare SIP sau un apel, parcurgeți acești pași:
-
Aflați adresa gazdei unui terminal SIP pentru nodurile Edge active.
-
Asigurați-vă că ați îndeplinit toate condițiile prealabile privind configurarea utilizatorului și a dispozitivului.
-
Asigurați-vă că terminalul are conectivitate la rețeaua publică pentru a începe descoperirea serviciului.
-
Asigurați-vă că ați îndeplinit toate condițiile prealabile pentru sincronizarea terminalului cu o configurație de asigurare a accesului specifică regiunii sau centrului de date. Această configurație ajută la obținerea sufixului numelui de domeniu relevant pentru descoperirea serviciului.
IPv4 versus IPv6
Dispozitivele pot funcționa într-o singură versiune sau în modul stivă dublă. Configurația este cea care determină modificările la protocolul preferat, iar aceste modificări nu fac parte din descoperirea serviciului.
-
Modul stivă unică — activează un singur protocol IP (de exemplu, IPv4) și ignoră celelalte adrese de protocol.
-
Mod stivă dublă — selectează o versiune IP preferată prin intermediul configurării.
Clientul consideră că nivelul de prioritate al tuturor adreselor preferate este mai mic (adică adresele sunt preferate), comparativ cu toate adresele IP. Dacă se preferă IPv4, sunt încercate toate adresele IPv4, înainte de a încerca o adresă IPv6. Dacă nu se reușește identificarea unei adrese, ciclul începe din nou cu adresa cu nivelul de prioritate cel mai scăzut, din protocolul preferat.
Un client mobil care se înregistrează la primirea unei notificări push poate decide să optimizeze modul pe baza înregistrărilor anterioare.
Rezolvarea adresei gazdei din adresa DNS SRV
În fișierul de configurare a terminalului, obținut în timpul asigurării accesului, indicatorul de domeniu specifică numele domeniului pentru care se va descoperi serviciul de acces Edge. Un exemplu de nume de domeniu este:
wxc.edge.bcld.webex.comÎn exemplul oferit, terminalul care efectuează o căutare DNS SRV pentru acest domeniu poate genera un răspuns similar cu următorul:
# nslookup -type=srv_sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. În acest caz, înregistrarea SRV indică înregistrări 3 A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com În exemplu, toate gazdele sunt anunțate să contacteze portul 5061 cu ponderi și priorități diferite.
Luați în considerare aceste cerințe pentru terminale.
-
Un punct final trebuie să utilizeze
_sips._tcp(combinație serviciu și protocol) ca prefix pentru a efectua o căutare DNS SRV pentru obținerea adresei de gazdă pentru inițierea comunicării bazate pe TLS. -
Un terminal trebuie să efectueze o căutare DNS SRV pentru condițiile explicate în secțiunea Rezolvarea adresei gazdei din adresa DNS SRV.
-
Un terminal trebuie să respecte condițiile anunțate pentru fiecare adresă gazdă, cum ar fi gazda, portul, ponderea și prioritatea. De asemenea, trebuie să creeze o afinitate între gazdă și port, atunci când se creează o conexiune prin cablu, în timpul înregistrării SIP.
-
În mod specific utilizării unei înregistrări DNS SRV, criteriile de selecție a gazdelor pe baza priorității și a ponderii sunt explicate în RFC 2782.
Cerințe SIP și Media
|
Obligatoriu |
Descriere |
|---|---|
|
Este necesar un certificat de încredere pentru criptarea cu cheie publică |
Consultați articolul pentru informații privind autorizația de semnare a certificatelor Webex și Autoritatea de certificare pentru certificatele rădăcină necesare pentru dispozitive |
|
Versiunea TLS acceptată pentru SIP securizat |
TLS 1.2 |
|
CODURI TLS acceptate pentru SIP securizat |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
Chei SRTP acceptate pentru conținut media securizat |
AES_CM_128_HMAC_SHA1_80 |
Cerințe pentru SIP securizat cu mTLS (TLS reciproc)
Cerințele sunt explicate în detaliu mai jos.
Este necesar un certificat semnat pentru autorizarea și autentificarea cu succes a apelurilor din trunchi. Certificatul trebuie să îndeplinească următoarele cerințe:
-
Certificatul trebuie semnat de un CA menționat în Ce autorități de certificare rădăcină sunt acceptate pentru apelurile către platformele audio și video Cisco Webex?
-
Încărcați pachetul de încredere menționat în Ce autorități de certificare rădăcină sunt acceptate pentru apelurile către platformele audio și video Cisco Webex? în CUBE.
-
Certificatul trebuie să fie întotdeauna valabil:
-
Certificatele semnate trebuie să aibă întotdeauna o dată de expirare validă.
-
Certificatele rădăcină sau certificatele intermediare trebuie să aibă o dată de expirare validă și nu trebuie să fi fost revocate.
-
Certificatele trebuie să fie semnate, pentru a putea fi utilizate de către client și de către server.
-
Certificatele trebuie să conțină Numele de domeniu complet calificat (FQDN) ca nume comun sau ca nume alternativ al subiectului în certificat, iar FQDN-ul trebuie să fie ales în Control Hub. De exemplu:
-
Un trunchi configurat în aplicația Control Hub a organizației dvs., având london.lgw.cisco.com:5061 ca FQDN trebuie să includă london.lgw.cisco.com în certificatul CN sau SAN.
-
Un trunchi configurat în aplicația Control Hub a organizației dvs., având london.lgw.cisco.com ca SRV trebuie să includă SRV london.lgw.cisco.com în certificatul CN sau SAN. Înregistrările la care se conectează adresa SRV (CNAME/Înregistrare A/Adresă IP) sunt opționale în SAN.
-
-
Puteți partaja certificate cu mai multe gateway-uri locale. Cu toate acestea, asigurați-vă că cerințele FQDN sunt îndeplinite.
-
În afara domeniului de aplicare
Acest articol nu include următoarele informații referitoare la securitatea rețelei:
-
Cerințele F5 pentru CA și Cifruri
-
Un API bazat pe HTTP, pentru a descărca reguli de firewall pentru Webex.
-
API pentru un pachet cu componente de încredere
-
Cerință pentru firewall și dezactivare ALG
