Acest document se concentrează în principal pe cerințele de rețea și securitate pentru soluția Dedicated Instance, inclusiv abordarea pe mai multe niveluri a caracteristicilor și funcționalității care asigură acces fizic securizat, o rețea sigură, puncte finale securizate și aplicații Cisco UC securizate.
Cerințele rețelei pentru instanța dedicată
Webex Calling Dedicated Instance face parte din portofoliul Cisco Cloud Calling, bazat pe tehnologia de colaborare Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance oferă soluții de voce, video, mesagerie și mobilitate cu caracteristicile și avantajele telefoanelor Cisco IP , dispozitivelor mobile și clienților desktop care se conectează în siguranță la instanța dedicată.
Acest articol se adresează administratorilor de rețea, în special administratorilor de securitate firewall și proxy, care doresc să utilizeze instanța dedicată în cadrul organizației lor.
Prezentare generală a securității: Securitate în straturi
Instanță dedicată utilizează o abordare stratificată pentru securitate. Straturile includ:
Acces fizic
Rețea
Puncte finale
Aplicații UC
Următoarele secțiuni descriu straturile de securitate din Instanță dedicată implementări.
Securitate fizică
Este important să se asigure securitate fizică locațiilor din Equinix Meet-Me Room și Cisco Instanță dedicată Facilități centru de date. Atunci când securitatea fizică este compromisă, pot fi inițiate atacuri simple, cum ar fi întreruperea serviciului prin oprirea alimentării la switch-urile unui client. Cu acces fizic, atacatorii ar putea avea acces la dispozitivele server, pot reseta parolele și pot obține acces la switch-uri. Accesul fizic facilitează, de asemenea, atacuri mai sofisticate, cum ar fi atacurile man-in-the-middle, motiv pentru care al doilea nivel de securitate, securitatea rețelei, este critic.
Unitățile cu autocriptare sunt utilizate în Instanță dedicată Centre de date care găzduiesc aplicații UC.
Pentru mai multe informații despre practicile generale de securitate, consultați documentația de la următoarea locație: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Securitatea rețelei
Partenerii trebuie să se asigure că toate elementele rețelei sunt securizate Instanță dedicată infrastructură (care se conectează prin Equinix). Este responsabilitatea partenerului să asigure cele mai bune practici de securitate, cum ar fi:
VLAN separat pentru voce și date
Activați Port Security, care limitează numărul de adrese MAC permise per port, împotriva inundațiilor tabelului CAM
Protecție sursă IP împotriva adreselor IP falsificate
Inspecția dinamică ARP (DAI) examinează protocolul de rezoluție a adresei (ARP) și ARP gratuit (GARP) pentru încălcări (împotriva falsificării ARP)
802.1x limitează accesul la rețea pentru a autentifica dispozitivele de pe VLAN-urile alocate (telefoanele acceptă 802.1x )
Configurarea calității serviciului (QoS) pentru marcarea corespunzătoare a pachetelor vocale
Configurații porturi firewall pentru blocarea oricărui alt trafic
Securitatea punctelor finale
Punctele finale Cisco acceptă caracteristici de securitate implicite, cum ar fi firmware-ul semnat, pornirea securizată (anumite modele), certificatul instalat de producător (MIC) și fișierele de configurare semnate, care oferă un anumit nivel de securitate pentru punctele finale.
În plus, un partener sau un client poate activa securitate suplimentară, cum ar fi:
Criptare servicii de telefon IP (prin HTTPS) pentru servicii precum Extension Mobility
Emiteți certificate semnificative la nivel local (LSC) de la funcție delegată a autorității certificatului (CAPF) sau o autoritate de certificare publică (CA)
Criptare fișiere de configurare
Criptare media și semnalizare
Dezactivați aceste setări dacă nu sunt utilizate: port PC PC , Acces VLAN voce PC , ARP gratuit, Acces Web , buton Setări, SSH, consolă
Implementarea mecanismelor de securitate în Instanță dedicată previne furtul de identitate a telefoanelor și a Server Unified CM, manipularea datelor și manipularea semnalizării apelurilor / a fluxului media.
Instanță dedicată prin rețea:
Stabilește și menține fluxuri de comunicare autentificate
Semnează digital fișierele înainte de a transfera fișierul pe telefon
Criptează fluxurile media și semnalizarea apelurilor între telefoanele Cisco Unified IP
Securitatea oferă în mod implicit următoarele caracteristici automate de securitate pentru telefoanele Cisco Unified IP :
Semnarea fișierelor de configurație telefon
Suport pentru criptarea fișierului de configurație telefon
HTTPS cu Tomcat și alte servicii Web (MIDlet-uri)
Pentru Unified CM versiunea 8.0 ulterioară, aceste caracteristici de securitate sunt furnizate implicit fără a rula clientul Certificate Trust List (CTL).
Deoarece există un număr mare de telefoane într-o rețea și telefoanele IP au memorie limitată, Cisco Unified CM acționează ca un depozit de încredere la distanță prin Serviciul de verificare a încrederii (TVS), astfel încât să nu fie necesar să se plaseze un depozit de încredere cu certificate pe fiecare telefon. Telefoanele Cisco IP contactează serverul TVS pentru verificare, deoarece nu pot verifica o semnătură sau un certificat prin fișierele CTL sau ITL. Este mai ușor de gestionat să aveți un depozit de încredere centralizat decât un depozit de încredere pe fiecare telefon IP Cisco Unified .
TVS le permite telefoanelor Cisco Unified IP să autentifice serverele de aplicații, cum ar fi serviciile EM , directory și MIDlet, în timpul instalării HTTPS.
Fișierul Initial Trust List (ITL) este utilizat pentru securitatea inițială, astfel încât punctele finale să aibă încredere în Cisco Unified CM. ITL nu are nevoie de funcții de securitate pentru a fi activate în mod explicit. Fișierul ITL este creat automat când clusterul este instalat. Cheia privată a serverului TFTP ( Unified CM Trivial File Transfer Protocol) este utilizată pentru a semna fișierul ITL.
Când clusterul sau serverul Cisco Unified CM este în mod securizat, fișierul ITL este descărcat pe fiecare telefon Cisco telefon IP acceptat. Un partener poate vizualiza conținutul unui fișier ITL utilizând comandă CLI, admin:show itl.
Telefoanele Cisco IP au nevoie de fișierul ITL pentru a efectua următoarele operații:
Comunicați în siguranță cu CAPF, o condiție prealabilă pentru acceptarea criptării fișier de configurare
Autentificați semnătura fișier de configurare
Autentificați serverele de aplicații, cum ar fi serviciile EM , directory și MIDlet în timpul stabilirii HTTPS, utilizând TVS
Autentificarea dispozitivului, a fișierelor și a semnalizării se bazează pe crearea fișierului CTL(Certificate Trust List), care este creat atunci când partenerul sau clientul instalează și configurează clientul Cisco Certificate Trust List.
Fișierul Fișier CTL conține intrări pentru următoarele servere sau token-uri de securitate:
Token de securitate administrator de sistem (SAST)
Servicii Cisco CallManager și Cisco TFTP care rulează pe același server
Funcția proxy Autoritatea certificatului (CAPF)
Server(e) TFTP
firewall ASA
Fișierul Fișier CTL conține un certificat de server, cheie publică, număr de serie, semnătură, numele emitentului, numele subiectului, funcția serverului, numele DNS și adresă IP pentru fiecare server.
Securitatea telefonului cu CTL oferă următoarele funcții:
Autentificarea fișierelor descărcate TFTP (configurație, setări regionale, listă de apeluri și așa mai departe) utilizând o cheie de semnare
Criptarea fișierelor de configurare TFTP utilizând o cheie de semnare
Semnalizarea apelurilor criptată pentru telefoanele IP
Apel audio criptat (media) pentru telefoane IP
Instanță dedicată asigură înregistrarea terminalului și procesare apeluri. Semnalizarea dintre Cisco Unified CM și puncte finale se bazează pe Secure Protocol de control client Skinny (SCCP) sau pe Protocol de inițiere sesiuni (SIP) și poate fi criptată utilizând Securitate strat de transport (TLS). Media de la/către puncte finale se bazează pe Real-time Transport Protocol (RTP) și poate fi, de asemenea, criptată prin Secure RTP (SRTP).
Activarea modului mixt pe Unified CM permite criptarea trafic media de la și către terminalele Cisco .
Aplicații UC securizate
Modul mixt este activată implicit în Instanță dedicată .
Se activează modul mixt în Instanță dedicată permite posibilitatea de a efectua criptarea semnalului și a trafic media de la și către terminalele Cisco .
În Cisco Unified CM versiunea 12.5(1), a fost adăugată o nouă opțiune pentru a permite criptarea semnalizării și a conținutului media pe baza SIP OAuth în loc de modul mixt / CTL pentru clienții Jabber și Webex . Prin urmare, în Unified CM versiunea 12.5(1), SIP OAuth și SRTP pot fi utilizate pentru a activa criptarea pentru semnalizare și media pentru clienții Jabber sau Webex . Activarea modului mixt continuă să fie necesară pentru telefoanele Cisco IP și alte terminale Cisco . Există un plan de a adăuga compatibilitate pentru SIP OAuth în punctele finale 7800/8800 într-o versiune viitoare.
Cisco Unity Connection se conectează la Unified CM prin portul TLS . Când modul de securitate al dispozitivului este nesecurizat, Cisco Unity Connection se conectează la Unified CM prin portul SCCP .
Pentru a configura securitatea pentru porturile de mesagerie vocală Unified CM și dispozitivele Cisco Unity care rulează SCCP sau dispozitivele Cisco Unity Connection care rulează SCCP, un partener poate alege un mod de securitate securizat al dispozitivului pentru port. Dacă alegeți un port poștă vocală autentificat , se deschide o conexiune TLS , care autentifică dispozitivele prin utilizarea unui schimb reciproc de certificate (fiecare dispozitiv acceptă certificatul celuilalt dispozitiv). Dacă alegeți un port poștă vocală criptat , sistemul autentifică mai întâi dispozitivele și apoi trimite fluxuri vocale criptate între dispozitive.
Pentru mai multe informații despre porturile de mesagerie vocală de securitate, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Securitate pentru SRST, trunkuri, gateway-uri, CUBE/SBC
Un gateway Cisco Unified Survivable Remote Site Telephony (SRST) activat oferă sarcini limitate de procesare a apelurilor dacă Cisco Unified CM este pornit Instanță dedicată nu poate finaliza apelul.
Gateway-urile securizate cu SRST conțin un certificat semnat. După ce un partener efectuează operațiuni de configurare SRST în Unified CM Administration, Unified CM utilizează o conexiune TLS pentru a se autentifica cu serviciul Certificate Provider în gateway cu SRST. Unified CM preia apoi certificatul de la gateway cu SRST și adaugă certificatul în baza de date Unified CM .
După ce partenerul resetează dispozitivele dependente în Unified CM Administration, serverul TFTP adaugă certificatul de gateway cu SRST în fișierul cnf.xml al telefonului și trimite fișierul către telefon. Un telefon securizat utilizează apoi o conexiune TLS pentru a interacționa cu gateway cu SRST.
Se recomandă să aveți trunchiuri securizate pentru apelul care provine de la Cisco Unified CM către gateway pentru apelurile PSTN de ieșire sau care traversează prin Cisco Unified Border Element (CUBE).
Trunchiurile SIP pot accepta apeluri securizate atât pentru semnalizare, cât și pentru media; TLS oferă criptare de semnalizare, iar SRTP oferă criptare media.
Securizarea comunicațiilor între Cisco Unified CM și CUBE
Pentru comunicații sigure între Cisco Unified CM și CUBE, partenerii/clienții trebuie să utilizeze certificat semnat de CA.
Pentru certificatele autosemnate:
CUBE și Cisco Unified CM generează certificate autosemnate
CUBE exportă certificatul către Cisco Unified CM
Cisco Unified CM exportă certificatul în CUBE
Pentru certificatele semnate de CA:
Clientul generează o pereche de chei și trimite o Cerere de semnare a certificatului (CSR) către Autoritatea certificatului (CA)
CA semnează cu cheia sa privată, creând un Certificat de identitate
Clientul instalează lista de certificate rădăcină și intermediară CA de încredere și certificatul de identitate
Securitate pentru puncte finale de la distanță
Cu punctele finale cu Remote Access (MRA), semnalizarea și media sunt întotdeauna criptate între punctele finale MRA și nodurile Expressway. Dacă se utilizează protocolul ICE (Interactive Connectivity Establishment) pentru punctele finale MRA, este necesară semnalizarea și criptarea media a punctelor finale MRA. Cu toate acestea, criptarea semnalizării și a conținutului media dintre Expressway-C și serverele interne Unified CM , punctele finale interne sau alte dispozitive interne necesită modul mixt sau SIP OAuth.
Cisco Expressway oferă parcurgere securizată firewall și asistență pe linie pentru înregistrările Unified CM . Unified CM oferă control apel atât pentru terminalele mobile, cât și în rețeaua corporatistă . Semnalizarea traversează soluția Expressway între punctul final la distanță și Unified CM. Media traversează soluția Expressway și este transmisă direct între punctele finale. Toate media sunt criptate între Expressway-C și terminalul mobil.
Orice soluție MRA necesită Expressway și Unified CM, cu clienți soft și/sau terminale fixe compatibile cu MRA. Soluția poate include opțional IM și serviciu de prezență și Unity Connection.
Rezumatul protocolului
Următorul tabel prezintă protocoalele și serviciile asociate utilizate în soluția Unified CM .
Protocol |
Securitate |
Serviciu |
|---|---|---|
SIP |
TLS |
Stabilirea sesiunii: Înscriere, invitație etc. |
HTTPS |
TLS |
Conectare, Configurare/Configurare, Director, Mesagerie vocală vizuală |
Media |
SRTP |
Mass-media: Audio, video, partajare conținut |
XMPP |
TLS |
Mesagerie instantanee , Prezență, Federație |
Pentru mai multe informații despre configurația MRA, consultați: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opțiuni de configurare
Elementul Instanță dedicată oferă Partenerului flexibilitatea de a particulariza serviciile pentru utilizatorii finali prin controlul deplin al configurațiilor din ziua a doua. Prin urmare, partenerul este singurul responsabil pentru configurarea corectă a Instanță dedicată serviciu pentru mediul utilizatorului final. Acestea includ, dar fără a se limita la:
Alegerea apelurilor securizate/nesecurizate, a protocoalelor securizate/nesecurizate precum SIP/sSIP, http/https etc. și înțelegerea oricăror riscuri asociate.
Pentru toate adresele MAC neconfigurate ca securizate- SIP in Instanță dedicată , un atacator poate trimite mesajul SIP Register utilizând acea adresă MAC și poate efectua apeluri SIP , ceea ce duce la fraudă cu taxă. Condiția este ca atacatorul să își înregistreze dispozitiv SIP la Instanță dedicată fără autorizație dacă cunosc adresă MAC a unui dispozitiv înregistrat în Instanță dedicată .
Politicile de apelare Expressway-E, regulile de transformare și căutare trebuie configurate pentru a preveni frauda cu taxă. Pentru mai multe informații despre prevenirea fraudei cu taxă prin Expressways, consultați secțiunea Securitate pentru Expressway C și Expressway-E din Colaborare SRND .
Configurarea planului de apelare pentru a se asigura că utilizatorii pot apela numai destinațiile care sunt permise, de exemplu, interzicerea apelurilor naționale/internaționale, rutarea corectă a apelurilor de urgență etc. Pentru mai multe informații despre aplicarea restricțiilor prin planul de apelare, consultați Plan de apelare secțiunea Colaborare SRND.
Cerințe privind certificatul pentru conexiuni securizate în instanță dedicată
Pentru instanță dedicată, Cisco va furniza domeniul și va semna toate certificatele pentru aplicațiile UC utilizând o Autoritatea certificatului (CA) publică.
Instanță dedicată – numere de port și protocoale
Următoarele tabele descriu porturile și protocoalele care sunt acceptate în Instanță dedicată. Porturile care sunt utilizate pentru un anumit client depind de implementarea și soluția clientului. Protocoalele depind de preferința clientului (SCCP vs SIP), de dispozitivele existente în rețeaua corporatistă și de nivelul de securitate pentru a determina ce porturi vor fi utilizate în fiecare implementare.
 |
Instanța dedicată nu permite traducerea adresei de rețea (NAT) între punctele finale și Unified CM , deoarece unele dintre caracteristicile fluxului de apeluri nu vor funcționa, de exemplu , caracteristică intra-convorbire. |
Instanță dedicată – porturi client
Porturile disponibile pentru clienți - între Clientul în rețeaua corporatistă și Instanța Dedicată sunt prezentate în Tabelul 1 Porturi dedicate clientului pentru instanță . Toate porturile enumerate mai jos sunt pentru traficul clienților care traversează linkurile de peering.
|
Portul SNMP este acceptat numai pentru funcționalitatea CER și nu pentru alte instrumente de monitorizare ale unor terțe părți. |
 |
Porturile din intervalul 5063 - 5080 sunt rezervate de către Cisco pentru alte integrări în cloud, administratorilor parteneri sau clienți li se recomandă să nu utilizeze aceste porturi în configurațiile lor. |
Protocol |
TCP/UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
Aplicații UC |
Mai mare de 1023 |
22 |
Administrare |
TFTP |
UDP |
Terminal |
Unified CM |
Mai mare de 1023 |
69 |
Compatibilitate cu terminale moștenite |
LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
389 |
Sincronizare director cu LDAP client |
HTTPS |
TCP |
Browser |
Aplicații UC |
Mai mare de 1023 |
443 |
Acces Web pentru interfețe administrative și de îngrijire personală |
Corespondență de ieșire (Securizat) |
TCP |
Aplicația UC |
CUCxn |
Mai mare de 1023 |
587 |
Utilizat pentru a compune și a trimite mesaje securizate către orice destinatari desemnați |
LDAP (SEGURU) |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
636 |
Sincronizare director cu LDAP client |
H323 |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizarea apelurilor |
H323 |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
1720 |
Semnalizarea apelurilor |
SCCP |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
2000 |
Semnalizarea apelurilor |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
2000 |
Semnalizarea apelurilor |
MGCP |
UDP |
Gateway |
Gateway |
Mai mare de 1023 |
2427 |
Semnalizarea apelurilor |
MGCP Blackhaul |
TCP |
Gateway |
Unified CM |
Mai mare de 1023 |
2428 |
Semnalizarea apelurilor |
SCCP (SIGUR) |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
2443 |
Semnalizarea apelurilor |
SCCP (SIGUR) |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
2443 |
Semnalizarea apelurilor |
Verificarea încrederii |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2445 |
Furnizarea serviciului de verificare a încrederii punctelor finale |
CTI |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2748 |
Conexiune între aplicațiile CTI (JTAPI/TSP) și CTIManager |
CTI securizat |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
2749 |
Conexiune securizată între aplicațiile CTI (JTAPI/TSP) și CTIManager |
Catalog global LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3268 |
Sincronizare director cu LDAP client |
Catalog global LDAP |
TCP |
Aplicații UC |
Director extern |
Mai mare de 1023 |
3269 |
Sincronizare director cu LDAP client |
Serviciul CAPF |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
3804 |
Port de ascultare al funcției proxy Autoritatea certificatului (CAPF) pentru emiterea de certificate semnificative la nivel local (LSC) către telefoanele IP |
SIP |
TCP |
Terminal |
Unified CM, CUCxn |
Mai mare de 1023 |
5060 |
Semnalizarea apelurilor |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
5060 |
Semnalizarea apelurilor |
SIP (SEGURU) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5061 |
Semnalizarea apelurilor |
SIP (SEGURU) |
TCP |
Unified CM |
Unified CM, Gateway |
Mai mare de 1023 |
5061 |
Semnalizarea apelurilor |
SIP (OAUTH) |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
5090 |
Semnalizarea apelurilor |
XMPP |
TCP |
Client Jabber |
Cisco IM&P |
Mai mare de 1023 |
5222 |
Mesagerie instantanee și prezență |
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6970 |
Se descarcă configurația și imaginile în puncte finale |
HTTPS |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6971 |
Se descarcă configurația și imaginile în puncte finale |
HTTPS |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
6972 |
Se descarcă configurația și imaginile în puncte finale |
HTTP |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7080 |
Notificări de mesagerie vocală |
HTTPS |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7443 |
Notificări securizate de mesagerie vocală |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7501 |
Utilizat de Serviciu de căutare intercluster (ILS) pentru autentificarea pe bază de certificat |
HTTPS |
TCP |
Unified CM |
Unified CM |
Mai mare de 1023 |
7502 |
Utilizat de ILS pentru autentificarea pe bază de parolă |
IMAP |
TCP |
Client Jabber |
CUCxn |
Mai mare de 1023 |
7993 |
IMAP peste TLS |
HTTP |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
8080 |
URI director pentru suport terminal moștenit |
HTTPS |
TCP |
Browser, Endpoint |
Aplicații UC |
Mai mare de 1023 |
8443 |
Acces Web pentru interfețe de îngrijire personală și administrative, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Mai mare de 1023 |
9443 |
Căutare contact autentificat |
HTTP-uri |
TCP |
Terminal |
Unified CM |
Mai mare de 1023 |
9444 |
Funcție de gestionare a căștilor |
RTP/ SRTP |
UDP |
Unified CM |
Telefon |
16384 până la 32767 * |
16384 până la 32767 * |
Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschidere pe baza semnalizării apelului) |
RTP/ SRTP |
UDP |
Telefon |
Unified CM |
16384 până la 32767 * |
16384 până la 32767 * |
Media (audio) - Muzică în așteptare, Anuntor, Software Conference Bridge (Deschidere pe baza semnalizării apelului) |
COBRAS |
TCP |
Client |
CUCxn |
Mai mare de 1023 |
20532 |
Backup și restaurare aplicație Suite |
ICMP |
ICMP |
Terminal |
Aplicații UC |
nu este cazul |
nu este cazul |
Ping |
ICMP |
ICMP |
Aplicații UC |
Terminal |
nu este cazul |
nu este cazul |
Ping |
* Anumite cazuri speciale pot utiliza un interval mai mare. |
||||||
Instanță dedicată – porturi OTT
Următorul port poate fi utilizat de către Clienți și Parteneri pentru configurarea Mobile and Remote Access (MRA):
Protocol |
TCP/UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
|---|---|---|---|---|---|---|
SIGUR RTP/ RTCP |
UDP |
Expressway C |
Client |
Mai mare de 1023 |
36000-59999 |
Secure Media pentru apeluri MRA și B2B |
Instanță dedicată – porturi UCCX
Următoarea listă de porturi poate fi utilizată de clienți și parteneri pentru configurarea UCCX.
Protocol |
TCP / UCP |
Sursă |
Destinație |
Port sursă |
Port de destinație |
Scop |
|---|---|---|---|---|---|---|
SSH |
TCP |
Client |
UCCX |
Mai mare de 1023 |
22 |
SFTP și SSH |
Informix |
TCP |
Client sau Server |
UCCX |
Mai mare de 1023 |
1504 |
Port bază de date Unified CCX |
SIP |
UDP și TCP |
Server SIP GW sau MCRP |
UCCX |
Mai mare de 1023 |
5065 |
Comunicare cu nodurile GW și MCRP la distanță |
XMPP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
5223 |
Conexiune XMPP securizată între serverul Finesse și aplicațiile personalizate de la terți |
CVD |
TCP |
Client |
UCCX |
Mai mare de 1023 |
6999 |
Editor pentru aplicațiile CCX |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
7443 |
Conexiune BOSH securizată între serverul Finesse și desktopurile pentru agenți și supraveghetori pentru comunicare prin HTTPS |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8080 |
Clienții de raportare date live se conectează la serverul socket.IO |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8081 |
Browser-ul client încearcă să acceseze interfață web Cisco Unified Intelligence Center |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8443 |
Admin GUI, RTCP, acces DB prin SOAP |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8444 |
interfață web Cisco Unified Intelligence Center |
HTTPS |
TCP |
Browser și clienți REST |
UCCX |
Mai mare de 1023 |
8445 |
Port securizat pentru Finesse |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8447 |
HTTPS - Ajutor online Unified Intelligence Center |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
8553 |
Componentele Single Sign-On (SSO) accesează această interfață pentru a cunoaște starea de funcționare a Cisco IdS. |
HTTP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
9080 |
Clienți care încearcă să acceseze declanșatoarele HTTP sau documentele / prompturile / gramaticile / date live. |
HTTPS |
TCP |
Client |
UCCX |
Mai mare de 1023 |
9443 |
Port securizat utilizat pentru a răspunde clienților care încearcă să acceseze declanșatoarele HTTPS |
TCP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12014 |
Acesta este portul pe care clienții care raportează date live se pot conecta la serverul socket.IO |
TCP |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12015 |
Acesta este portul pe care clienții care raportează date live se pot conecta la serverul socket.IO |
CTI |
TCP |
Client |
UCCX |
Mai mare de 1023 |
12028 |
Client CTI terță parte către CCX |
RTP(media) |
TCP |
Terminal |
UCCX |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic după cum este necesar |
RTP(media) |
TCP |
Client |
Terminal |
Mai mare de 1023 |
Mai mare de 1023 |
Portul media este deschis dinamic după cum este necesar |
Securitatea clientului
Securizarea Jabber și Webex cu SIP OAuth
Clienții Jabber și Webex sunt autentificați printr-un token OAuth în loc de un certificat semnificativ la nivel local (LSC), care nu necesită activarea funcție delegată a autorității certificatului (CAPF) (și pentru MRA). SIP OAuth care funcționează cu sau fără modul mixt a fost introdus în Cisco Unified CM 12.5(1), Jabber 12.5 și Expressway X12.5.
În Cisco Unified CM 12.5, avem o nouă opțiune în Phone Security Profile care permite criptarea fără LSC/ CAPF, utilizând un singur Securitate strat de transport (TLS) + token OAuth în SIP REGISTER. Nodurile Expressway-C utilizează API -ul Administrative XML Web Service (AXL ) pentru a informa Cisco Unified CM cu privire la SN/SAN din certificatul lor. Cisco Unified CM utilizează aceste informații pentru a valida certificatul Exp-C atunci când stabilește o conexiune TLS reciprocă.
SIP OAuth permite criptarea media și a semnalizării fără un certificat de terminal (LSC).
Cisco Jabber utilizează porturi efemere și porturi securizate 6971 și 6972 prin conexiune HTTPS la serverul TFTP pentru a descărca fișierele de configurare. Portul 6970 este un port nesecurizat pentru descărcare prin HTTP.
Mai multe detalii despre configurația SIP OAuth: Mod SIP OAuth .
Cerințele DNS
Pentru instanță dedicată, Cisco oferă FQDN pentru serviciu în fiecare regiune, cu următorul format<customer> .<region> .wxc-di.webex.com de exemplu, xyz.amer.wxc-di.webex.com .
Valoarea „client” este furnizată de administrator ca parte a Asistentul pentru prima configurare (FTSW). Pentru mai multe informații, consultați Activarea serviciului de instanță dedicată .
Înregistrările DNS pentru acest FQDN trebuie să poată fi rezolvate de pe server DNS intern al clientului pentru a accepta dispozitivele locale care se conectează la instanța dedicată. Pentru a facilita rezoluția, clientul trebuie să configureze un redirecționar condiționat, pentru acest FQDN, pe server DNS care indică serviciul DNS de instanță dedicată. Serviciul DNS pentru instanță dedicată este regional și poate fi contactat, prin peering-ul la instanța dedicată, folosind următoarele adrese IP , așa cum este menționat în tabelul de mai jos Adresă IP serviciu DNS instanță dedicată .
Regiune/DC |
Adresă IP serviciu DNS instanță dedicată | Exemplu de redirecționare condiționată |
|---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
UE |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
Opțiunea ping este dezactivată pentru adresele IP ale server DNS menționate mai sus din motive de securitate. |
Până la implementarea redirecționării condiționate, dispozitivele nu se vor putea înscrie în instanța dedicată din rețeaua internă a clienților prin linkurile de peering. Redirecționarea condiționată nu este necesară pentru înregistrare prin Mobile and Remote Access (MRA), deoarece toate înregistrările DNS externe necesare pentru a facilita MRA vor fi pre-provizionate de către Cisco.
Când utilizați aplicația Webex ca client calling soft în Instanță dedicată, trebuie configurat un Profil UC Manager în Control Hub pentru domeniul de servicii vocale (VSD) din fiecare regiune. Pentru mai multe informații, consultați Profiluri UC Manager în Cisco Webex Control Hub . Aplicația Webex va putea rezolva automat Expressway Edge a clientului, fără nicio intervenție a utilizator final .
|
Domeniul serviciului vocal va fi furnizat clientului ca parte a documentului de acces al partenerului odată ce activarea serviciului este finalizată. |
Referințe
Proiecte de rețea de referință pentru soluții Cisco Collaboration 12.x (SRND), subiect securitate: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Ghid de securitate pentru Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
