- Pagină de pornire
- /
- Articol
Rețeaua de instanță dedicată și cerințele de securitate
Cerințele de rețea și de securitate pentru soluția Instanță dedicată reprezintă abordarea stratificată a caracteristicilor și funcționalităților care oferă acces fizic securizat, rețele, puncte finale și aplicații Cisco UC. Acesta descrie cerințele de rețea și enumeră adresele, porturile și protocoalele utilizate pentru conectarea punctelor finale la servicii.
Cerințe de rețea pentru Instanța dedicată
Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, susținut de tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Instanța dedicată oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și beneficiile telefoanelor IP Cisco, ale dispozitivelor mobile și ale clienților desktop care se conectează în siguranță la instanța dedicată.
Acest articol este destinat administratorilor de rețea, în special administratorilor de securitate paravan de protecție și proxy care doresc să utilizeze instanță dedicată în cadrul organizației lor.
Prezentare generală securitate: Securitate în straturi
Instanță dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:
-
Acces fizic
-
Rețea
-
Puncte finale
-
Aplicații UC
Următoarele secțiuni descriu straturile tematice de securitate din implementările de instanțe dedicate.
Securitate fizică
Este important să oferiți securitate fizică locațiilor Equinix Meet-Me Room și facilităților Cisco Dedicated Instance Data Center. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin închiderea alimentării cu energie electrică a comutatoarelor unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele serverului, ar putea reseta parolele și ar putea avea acces la comutatoare. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este esențial.
Unitățile cu autocriptare sunt utilizate în centrele de date de instanță dedicate care găzduiesc aplicații UC.
Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Securitate rețea
Partenerii trebuie să se asigure că toate elementele de rețea sunt securizate în infrastructura instanței dedicate (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:
-
VLAN separat pentru voce și date
-
Activați Port Security, care limitează numărul de adrese MAC permise per port, împotriva inundării tabelului CAM
-
Protecție sursă IP împotriva adreselor IP falsificate
-
Dynamic ARP Inspection (DAI) examinează protocolul de rezolvare a adreselor (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)
-
802.1x limitează accesul la rețea pentru autentificarea dispozitivelor pe VLAN-urile atribuite (telefoanele acceptă 802.1x)
-
Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor de voce
-
Configurații de porturi firewall pentru blocarea oricărui alt trafic
Securitatea punctelor finale
Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, încărcarea securizată (modelele selectate), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru stațiile de lucru.
În plus, un partener sau un client poate activa o securitate suplimentară, cum ar fi:
-
Criptarea serviciilor de telefonie IP (prin HTTPS) pentru servicii precum Mobilitatea prin extensie
-
Eliberarea certificatelor semnificative la nivel local (LSC) de la funcția proxy a autorității de certificare (CAPF) sau de la o autoritate publică de certificare (CA)
-
Criptarea fișierelor de configurare
-
Criptarea suporturilor media și semnalizarea
-
Dezactivați aceste setări dacă nu sunt utilizate: Port PC, PC Voice VLAN Access, ARP gratuit, Acces Web, buton Setări, SSH, consolă
Implementarea mecanismelor de securitate în instanța dedicată previne furtul de identitate al telefoanelor și al serverului CM unificat, manipularea datelor și semnalizarea apelurilor / manipularea fluxului media.
Instanță dedicată prin rețea:
-
Stabilește și menține fluxurile de comunicare autentificate
-
Semnează digital fișierele înainte de a transfera fișierul pe telefon
-
Criptează fluxurile media și semnalizarea apelurilor între telefoanele IP unificate Cisco
Securitatea în mod implicit oferă următoarele caracteristici de securitate automată pentru telefoanele IP Cisco Unified:
-
Semnarea fișierelor de configurare a telefonului
-
Suport pentru criptarea fișierelor de configurare a telefonului
-
HTTPS cu Tomcat și alte servicii Web (MIDlets)
Pentru Unified CM Release 8.0 mai târziu, aceste caracteristici de securitate sunt furnizate în mod implicit fără a executa clientul Listă de încredere certificat (CTL).
Serviciu de verificare a încrederiiDeoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un magazin de încredere la distanță prin serviciul de verificare a încrederii (TVS), astfel încât un magazin de încredere certificat nu trebuie să fie plasat pe fiecare telefon. Telefoanele IP Cisco contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișiere CTL sau ITL. Având un magazin central de încredere este mai ușor de gestionat decât având magazin de încredere pe fiecare telefon Cisco Unified IP.
TVS permite telefoanelor CISCO Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM, directorul și MIDlet, în timpul înființării HTTPS.
Listă inițială de încredereFișierul Listă de încredere inițială (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să poată avea încredere în Cisco Unified CM. ITL nu are nevoie de caracteristici de securitate pentru a fi activat în mod explicit. Fișierul ITL este creat automat atunci când clusterul este instalat. Cheia privată a serverului Unified CM Trivial File Transfer Protocol (TFTP) este utilizată pentru a semna fișierul ITL.
Când clusterul sau serverul Cisco Unified CM este în modul non-securizat, fișierul ITL este descărcat pe fiecare telefon CISCO IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comanda CLI, admin:show itl.
Telefoanele IP Cisco au nevoie de fișierul ITL pentru a efectua următoarele sarcini:
-
Comunicați în siguranță la CAPF, o condiție prealabilă pentru a sprijini criptarea fișierelor de configurare
-
Autentificarea semnăturii fișierului de configurare
-
Autentificarea serverelor de aplicații, cum ar fi serviciile EM, directorul și MIDlet în timpul înființării HTTPS utilizând TVS
Autentificarea dispozitivului, a fișierelor și a semnalizării se bazează pe crearea fișierului Listă de autorizare a certificatelor (CTL), care este creat atunci când partenerul sau clientul instalează și configurează Clientul Listă de încredere a certificatelor Cisco.
Fișierul CTL conține intrări pentru următoarele servere sau simboluri de securitate:
-
Simbol de securitate administrator de sistem (SAST)
-
Cisco CallManager și Cisco TFTP servicii care se execută pe același server
-
Funcția proxy a autorității de certificare (CAPF)
-
Server(e) TFTP
-
Firewall ASA
Fișierul CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresa IP pentru fiecare server.
Securitatea telefonului cu CTL oferă următoarele funcții:
-
Autentificarea fișierelor descărcate TFTP (configurare, setări regionale, listă de apel și așa mai departe) utilizând o cheie de semnare
-
Criptarea fișierelor de configurare TFTP utilizând o cheie de semnare
-
Semnalizarea criptată a apelurilor pentru telefoanele IP
-
Sunet criptat de apel (media) pentru telefoane IP
Instanța dedicată oferă înregistrarea punctelor finale și procesarea apelurilor. Semnalizarea dintre Cisco Unified CM și endpoint-urile se bazează pe Secure Skinny Client Control Protocol (SCCP) sau Session Initiation Protocol (SIP) și poate fi criptată utilizând Transport Layer Security (TLS). Suportul media de la/la punctele finale se bazează pe Protocolul de transport în timp real (RTP) și poate fi, de asemenea, criptat folosind Secure RTP (SRTP).
Activarea modului mixt pe Unified CM permite criptarea semnalizării și a traficului media de la și către punctele finale Cisco.
Aplicații UC securizate
Activarea modului mixt în instanța dedicatăModul mixt este activat în mod implicit în Instanța dedicată.
Activarea modului mixt în instanță dedicată permite capacitatea de a efectua criptarea semnalizării și a traficului media de la și către punctele finale Cisco.
În Cisco Unified CM lansarea 12.5 (1), o nouă opțiune pentru a permite criptarea de semnalizare și mass-media bazate pe SIP OAuth în loc de modul mixt / CTL a fost adăugat pentru clienții Jabber și Webex. De aceea, în versiunea UNIFICAT CM 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a permite criptarea pentru semnalizare și media pentru clienții Jabber sau Webex. Activarea modului mixt continuă să fie necesară pentru telefoanele IP Cisco și alte puncte finale Cisco în acest moment. Există un plan pentru a adăuga suport pentru SIP OAuth în 7800/8800 puncte finale într-o versiune viitoare.
Securitatea mesageriei vocaleCisco Unity Connection se conectează la Unified CM prin portul TLS. Când modul de securitate al dispozitivului nu este securizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP.
Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care execută sccp sau Cisco Unity Connection dispozitive care execută SCCP, un partener poate alege un mod de securitate dispozitiv securizat pentru port. Dacă alegeți un port de poștă vocală autentificat, se deschide o conexiune TLS, care autentifică dispozitivele utilizând un schimb de certificate reciproce (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port de poștă vocală criptat, sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.
Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Securitate pentru SRST, Trunchiuri, Gateway-uri, CUBE/SBC
Un gateway cisco unified Survivable Remote Site Telephony (SRST) activat oferă sarcini limitate de procesare a apelurilor în cazul în care Cisco Unified CM pe instanță dedicată nu poate finaliza apelul.
Gateway-urile securizate compatibile SRST conțin un certificat autosemnat. După ce un partener efectuează activități de configurare SRST în Administrare CM unificată, UNIFIED CM utilizează o conexiune TLS pentru autentificarea cu serviciul furnizor de certificate în gateway-ul srst activat. CM unificat apoi preia certificatul din gateway-ul srst activat și adaugă certificatul la baza de date UNIFIED CM.
După ce partenerul reinițializează dispozitivele dependente în Administrare CM unificată, serverul TFTP adaugă certificatul gateway srst activat la fișierul cnf.xml telefon și trimite fișierul la telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway-ul activat srst.
Se recomandă să aibă trunchiuri sigure pentru apelul care provine de la Cisco Unified CM la gateway-ul pentru apeluri PSTN de ieșire sau traversarea prin Cisco Unified Border Element (CUBE).
Trunchiurile SIP pot suporta apeluri securizate atât pentru semnalizare, cât și pentru mass-media; TLS oferă criptare de semnalizare și SRTP oferă criptare media.
Securizarea comunicațiilor între Cisco Unified CM și CUBE
Pentru comunicații securizate între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze certificate autosemnate sau certificate semnate CA.
Pentru certificatele autosemnate:
-
CUBE și Cisco Unified CM generează certificate auto-semnate
-
CUBE exportă certificatul către Cisco Unified CM
-
Cisco Unified CM exportă certificat la CUBE
Pentru certificatele semnate CA:
-
Clientul generează o pereche de chei și trimite o solicitare de semnare a certificatului (CSR) la autoritatea de certificare (CA)
-
CA îl semnează cu cheia sa privată, creând un certificat de identitate
-
Clientul instalează lista de certificate rădăcină și intermediar CA de încredere și certificatul de identitate
Securitate pentru terminalele la distanță
Cu punctele finale de acces mobil și la distanță (MRA), semnalizarea și suportul media sunt întotdeauna criptate între punctele finale MRA și nodurile Expressway. Dacă protocolul Interactive Connectivity Establishment (ICE) este utilizat pentru punctele finale MRA, este necesară semnalizarea și criptarea media a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a conținutului media între Expressway-C și serverele cm unificate interne, punctele finale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.
Cisco Expressway oferă suport securizat pentru traversarea firewall-ului și pe partea de linie pentru înregistrările CM unificate. CM unificat oferă control al apelurilor atât pentru punctele finale mobile, cât și pentru cele locale. Semnalizarea traversează soluția Expressway între punctul final de la distanță și CM unificat. Media traversează soluția Expressway și este transmisă direct între punctele finale. Toate suporturile media sunt criptate între Expressway-C și punctul final mobil.
Orice soluție MRA necesită Expressway și Unified CM, cu clienți soft compatibili cu MRA și/sau puncte finale fixe. Soluția poate include opțional serviciul im și prezență și conexiunea unitate.
Rezumatul protocolului
Următorul tabel afișează protocoalele și serviciile asociate utilizate în soluția CM unificat.
Protocol |
Securitate |
Serviciu |
---|---|---|
SIP |
TLS |
Stabilirea sesiunii: Înregistrați-vă, invitați etc. |
HTTPS |
TLS |
Log on, Provisioning/Configuration, Directory, Visual Voicemail |
Media |
SRTP |
Media: Audio, video, partajare de conținut |
XMPP |
TLS |
Mesagerie instant, prezență, federație |
Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opțiuni de configurare
Instanța dedicată oferă partenerului flexibilitatea de a personaliza serviciile pentru utilizatorii finali prin controlul deplin al configurațiilor din ziua a doua. Ca urmare, Partenerul este singurul responsabil pentru configurarea corectă a serviciului Instanță dedicată pentru mediul utilizatorului final. Aceasta include, dar fără a se limita la:
-
Alegerea apelurilor securizate/ne-securizate, a protocoalelor securizate/nesigure, cum ar fi SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.
-
Pentru toate adresele MAC care nu sunt configurate ca SECURE-SIP în instanță dedicată, un atacator poate trimite mesaj sip registru folosind acea adresă MAC și să poată efectua apeluri SIP, ceea ce duce la frauda de taxare rutieră. Perquisite-ul este că atacatorul își poate înregistra dispozitivul/software-ul SIP la Instanță dedicată fără autorizație dacă cunoaște adresa MAC a unui dispozitiv înregistrat în Instanță dedicată.
-
Politicile de apel expressway-E, regulile de transformare și de căutare ar trebui să fie configurate pentru a preveni frauda cu taxă. Pentru mai multe informații despre prevenirea fraudelor cu taxă folosind Drumuri expres, consultați secțiunea Securitate pentru Autostradă C și Expressway-E a colaborării SRND.
-
Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinațiile care sunt permise, de exemplu, pot interzice apelarea națională/internațională, apelurile de urgență sunt rutate corect etc. Pentru mai multe informații despre aplicarea restricțiilor utilizând planul de apelare, consultați secțiunea Plan de apelare din SRND pentru colaborare.
Cerințele certificatului pentru conexiuni securizate în instanța dedicată
Pentru instanță dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o autoritate publică de certificare (CA).
Instanță dedicată – numere de port și protocoale
Următoarele tabele descriu porturile și protocoalele acceptate în instanță dedicată. Porturile care sunt utilizate pentru un anumit client depinde de implementarea și soluția clientului. Protocoalele depind de preferințele clientului (SCCP vs SIP), de dispozitivele locale existente și de nivelul de securitate pentru a determina ce porturi vor fi utilizate în fiecare implementare.
Instanța dedicată nu permite traducerea adresei de rețea (NAT) între punctele finale și Unified CM, deoarece unele dintre funcțiile fluxului de apeluri nu vor funcționa, de exemplu, caracteristica din timpul apelului.
Instanță dedicată – Porturi pentru clienți
Porturile disponibile pentru clienți - între instanța locală a clientului și instanța dedicată este afișată în tabelul 1 Porturidedicate instanței pentru clienți. Toate porturile enumerate mai jos sunt pentru traficul clientului care traversează link-urile de peering.
Portul SNMP este deschis în mod implicit numai pentru Cisco Emergency Responder care îi acceptă funcționalitatea. Deoarece nu acceptăm partenerii sau clienții să monitorizeze aplicațiile UC implementate în cloudul Instanță dedicată, nu permitem deschiderea portului SNMP pentru nicio altă aplicație UC.
Porturile din intervalul 5063 - 5080 sunt rezervate de Cisco pentru alte integrări în cloud. Se recomandă ca administratorii partenerilor sau clienților să nu utilizeze aceste porturi în configurațiile lor.
Protocol |
TCP/UDP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
SSH |
TCP |
Client |
Aplicații UC Nu este permisă pentru aplicațiile Cisco Expressway. |
Mai mare de 1023 |
22 |
Administrare |
Tftp (dezambiguizare) |
UDP |
Terminal |
Unified CM |
Mai mare de 1023 |
69 |
Compatibilitate cu terminale moștenite |
LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
389 |
Sincronizare director cu LDAP client |
HTTPS |
TCP |
Browser |
Aplicații UC |
Mai mare de 1023 |
443 |
Acces web pentru auto-îngrijire și interfețe administrative |
Outbound Mail (SECURE) |
TCP |
Aplicația UC |
CUCxn |
Mai mare de 1023 |
587 |
Utilizat pentru a compune și a trimite mesaje securizate către orice destinatari desemnați |
LDAP (SECURIZAT) |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
636 |
Sincronizare director cu LDAP client |
H323 |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizarea apelurilor |
H323 |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizarea apelurilor |
SCCP |
TCP |
Terminal |
CM unificat, CUCxn |
Mai mare de 1023 |
2000 |
Semnalizarea apelurilor |
SCCP |
TCP |
Unified CM |
CM unificat, Gateway |
Mai mare de 1023 |
2000 |
Semnalizarea apelurilor |
mgcp (dezambiguizare) |
UDP |
Gateway |
Gateway |
Mai mare de 1023 |
2427 |
Semnalizarea apelurilor |
MGCP Backhaul |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
2428 |
Semnalizarea apelurilor |
SCCP (SECURE) |
TCP |
Terminal |
CM unificat, CUCxn |
Mai mare de 1023 |
2443 |
Semnalizarea apelurilor |
SCCP (SECURE) |
TCP |
Unified CM |
CM unificat, Gateway |
Mai mare de 1023 |
2443 |
Semnalizarea apelurilor |
Verificarea încrederii |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2445 |
Furnizarea de servicii de verificare a încrederii pentru punctele finale |
CTI |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2748 |
Conexiunea dintre aplicațiile CTI (JTAPI/TSP) și CTIManager |
CTI securizat |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2749 |
Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager |
LDAP Global Catalog |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3268 |
Sincronizare director cu LDAP client |
LDAP Global Catalog |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3269 |
Sincronizare director cu LDAP client |
Serviciul CAPF |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
3804 |
Port de ascultare pentru funcția proxy de autoritate de certificare (CAPF) pentru eliberarea certificatelor semnificative local (LSC) pentru telefoanele IP |
SIP |
TCP |
Terminal |
CM unificat, CUCxn |
Mai mare de 1023 |
5060 |
Semnalizarea apelurilor |
SIP |
TCP |
Unified CM |
CM unificat, Gateway |
Mai mare de 1023 |
5060 |
Semnalizarea apelurilor |
SIP (SECURE) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5061 |
Semnalizarea apelurilor |
SIP (SECURE) |
TCP |
Unified CM |
CM unificat, Gateway |
Mai mare de 1023 |
5061 |
Semnalizarea apelurilor |
SIP (OAUTH) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5090 |
Semnalizarea apelurilor |
XMPP |
TCP |
Jabber Client |
Cisco IM &P |
Mai mare de 1023 |
5222 |
Mesagerie instant și prezență |
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6970 |
Descărcarea configurației și a imaginilor pe puncte finale |
HTTPS |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6971 |
Descărcarea configurației și a imaginilor pe puncte finale |
HTTPS |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6972 |
Descărcarea configurației și a imaginilor pe puncte finale |
HTTP |
TCP |
Jabber Client |
CUCxn |
Mai mare de 1023 |
7080 |
Notificări prin poștă vocală |
HTTPS |
TCP |
Jabber Client |
CUCxn |
Mai mare de 1023 |
7443 |
Notificări securizate prin poștă vocală |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7501 |
Utilizat de Intercluster Lookup Service (ILS) pentru autentificarea bazată pe certificat |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7502 |
Utilizat de ILS pentru autentificarea bazată pe parolă |
IMAP |
TCP |
Jabber Client |
CUCxn |
Mai mare de 1023 |
7993 |
IMAP prin TLS |
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
8080 |
URI director pentru asistență terminal moștenită |
HTTPS |
TCP |
Browser, Punct final |
Aplicații UC |
Mai mare de 1023 |
8443 |
Acces web pentru auto-îngrijire și interfețe administrative, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Mai mare de 1023 |
9443 |
Căutare persoană de contact autentificată |
HTTP-uri |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
9444 |
Funcția de gestionare a căștilor |
RTP/SRTP securizat |
UDP |
Unified CM |
Telefon |
16384 - 32767 * |
16384 - 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (deschis pe baza semnalizării apelurilor) |
RTP/SRTP securizat |
UDP |
Telefon |
Unified CM |
16384 - 32767 * |
16384 - 32767 * |
Media (audio) - Music On Hold, Annunciator, Software Conference Bridge (deschis pe baza semnalizării apelurilor) |
Cobră |
TCP |
Client |
CUCxn |
Mai mare de 1023 |
20532 |
Copiați de rezervă și restaurați suita de aplicații |
ICMP |
ICMP |
Terminal |
Aplicații UC |
nu este cazul |
nu este cazul |
Ping |
ICMP |
ICMP |
Aplicații UC |
Terminal |
nu este cazul |
nu este cazul |
Ping |
DNS | UDP și TCP |
Redirecționare DNS |
Servere DNS de instanță dedicată |
Mai mare de 1023 |
53 |
Redirecționatori DNS de la nivel local pentru servere DNS de instanță dedicată. Consultați Cerințe DNS pentru mai multe informații. |
* Anumite cazuri speciale pot folosi o gamă mai mare. |
Instanță dedicată – porturi OTT
Următorul port poate fi utilizat de clienți și parteneri pentru configurarea Mobile and Remote Access (MRA):
Protocol |
TCP/UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
RTP/RTCP SECURIZAT |
UDP |
Expressway C |
Client |
Mai mare de 1023 |
36000-59999 |
Media securizată pentru apeluri MRA și B2B |
Trunchi SIP inter-op între multitenant și instanța dedicată (numai pentru trunchiul bazat pe înscriere)
Următoarea listă de porturi trebuie să fie permisă pe firewall-ul clientului pentru trunchiul SIP bazat pe înregistrare care face legătura între multitenant și instanța dedicată.
Protocol |
TCP/UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Multitenant pentru Webex Calling |
Client |
Mai mare de 1023 |
8000-48198 |
Conținut media din Multitenantul Webex Calling |
Instanță dedicată – porturi UCCX
Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.
Protocol |
TCP / UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Mai mare de 1023 |
22 |
SFTP și SSH |
Informix |
TCP |
Client sau server |
UCCX |
Mai mare de 1023 |
1504 |
Portul bazei de date Contact Center Express |
SIP |
UDP și TCP |
Server SIP GW sau MCRP |
UCCX |
Mai mare de 1023 |
5065 |
Comunicarea cu nodurile GW și MCRP la distanță |
XMPP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
5223 |
Conexiune XMPP securizată între serverul Finesse și aplicații terțe particularizate |
DVC |
TCP |
Client |
UCCX |
Mai mare de 1023 |
6999 |
Editor la aplicațiile CCX |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
7443 |
Conexiune BOSH securizată între serverul Finesse și desktop-urile agentului și supraveghetorului pentru comunicare prin HTTPS |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8080 |
Clienții de raportare a datelor live se conectează la un server socket.IO |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8081 |
Browser client care încearcă să acceseze interfața web Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8443 |
Interfață grafică pentru administratori, RTMT, acces DB prin SOAP |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8444 |
Interfața web Cisco Unified Intelligence Center |
HTTPS |
TCP |
Clienții browserului și restului |
UCCX |
Mai mare de 1023 |
8445 |
Port securizat pentru Finesse |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8447 |
HTTPS - Ajutor online pentru Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8553 |
Componentele de conectare unică (SSO) accesează această interfață pentru a afla starea de funcționare a Cisco IdS. |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
9080 |
Clienții care încearcă să acceseze declanșatoare HTTP sau documente / solicitări / gramatici / date live. |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
9443 |
Port securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoare HTTPS |
TCP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12014 |
Acesta este portul unde clienții de raportare a datelor live se pot conecta la serverul socket.IO |
TCP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12015 |
Acesta este portul unde clienții de raportare a datelor live se pot conecta la serverul socket.IO |
CTI |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12028 |
Client CTI terț către CCX |
RTP(Media) |
TCP |
Terminal |
UCCX |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic, după cum este necesar |
RTP(Media) |
TCP |
Client |
Terminal |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic, după cum este necesar |
Securitate client
Securizarea Jabber și Webex cu SIP OAuth
Clienții Jabber și Webex sunt autentificați printr-un simbol OAuth în loc de un certificat semnificativ local (LSC), care nu necesită activarea funcției proxy de autoritate certificat (CAPF) (și pentru MRA). SIP OAuth de lucru cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5 (1), Jabber 12.5, și Expressway X12.5.
În Cisco Unified CM 12.5, avem o nouă opțiune în profilul de securitate telefon care permite criptarea fără LSC / CAPF, folosind un singur transport layer security (TLS) + OAuth token în SIP REGISTER. Nodurile Expressway-C utilizează API-ul Administrative XML Web Service (AXL) pentru a informa Cisco Unified CM despre SN/SAN în certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida cert Exp-C atunci când se stabilește o conexiune TLS reciprocă.
SIP OAuth permite criptarea media și semnalizare fără un certificat de punct final (LSC).
Cisco Jabber utilizează porturi Efemere și porturi securizate 6971 și 6972 porturi prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port non-securizat pentru descărcare prin HTTP.
Mai multe detalii despre configurația SIP OAuth: Modul SIP OAuth.
cerințe DNS
Pentru instanța dedicată, Cisco furnizează FQDN-ul pentru serviciu din fiecare regiune cu următorul format ..wxc-di.webex.com , de exemplu, xyz.amer.wxc-di.webex.com.
Valoarea "client" este furnizată de administrator ca parte a Expertului de instalare pentru prima dată (FTSW). Pentru mai multe informații, consultați Activarea serviciului de instanță dedicată.
Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe serverul DNS intern al clientului pentru a accepta dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezolvarea, clientul trebuie să configurați un expeditor condițional, pentru acest FQDN, pe serverul DNS care indică spre serviciul DNS instanță dedicată. Serviciul DNS de instanță dedicată este regional și poate fi contactat, prin peering, utilizând următoarele adrese IP, după cum se menționează în tabelul Adresa IP a serviciului DNS de instanță dedicată.
Regiune/DC | Adresă IP a serviciului DNS de instanță dedicat |
Exemplu de redirecționare condiționată |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
Categorie: Istoria Franței |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APAC |
<customer>.apjc.wxc-di.webex.com |
|
Păcat |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
UK |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
bărbat |
178.215.135.228 |
Opțiunea ping este dezactivată pentru adresele IP ale serverului DNS menționate mai sus din motive de securitate.
Până când redirecționarea condiționată nu este în vigoare, dispozitivele nu se vor putea înregistra la instanța dedicată din rețeaua internă a clienților prin intermediul linkurilor de peering. Redirecționarea condiționată nu este necesară pentru înregistrarea prin intermediul accesului mobil și la distanță (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi pre-furnizate de Cisco.
Atunci când utilizați aplicația Webex ca client soft apelant pe instanță dedicată, un profil UC Manager trebuie să fie configurat în Control Hub pentru domeniul de servicii de voce (VSD) din fiecare regiune. Pentru mai multe informații, consultați Profilurile UC Manager din Cisco Webex Control Hub. Aplicația Webex va putea rezolva automat Expressway Edge al clientului fără intervenția utilizatorului final.
Domeniul serviciului de voce va fi furnizat clientului ca parte a documentului de acces al partenerului după finalizarea activării serviciului.
Utilizați un router local pentru rezoluția DNS a telefonului
Pentru telefoanele care nu au acces la serverele DNS corporative, este posibil să utilizați un router Cisco local pentru a redirecționa solicitările DNS către DNS-ul cloud pentru instanța dedicată. Acest lucru elimină necesitatea de a implementa un server DNS local și oferă asistență DNS completă, inclusiv memorare în cache.
Exemplu de configurație :
!
Server DNS IP
Nume server IP
!
Utilizarea DNS în acest model de implementare este specifică telefoanelor și poate fi utilizată numai pentru a rezolva FQDN-urile cu domeniul din instanța dedicată a clienților.
Referinţe
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), Subiect de securitate: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Ghid de securitate pentru Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html