- Главная
- /
- Статья
Требования безопасности для Webex Calling
Эта статья предназначена для администраторов сети, в частности для администраторов брандмауэра и безопасности прокси, которые хотят использовать Webex Calling в своей организации.
Информацию о портах для брандмауэра и требования относительно доступа см. в разделе Информация о портах для Cisco Webex Calling.
Требования к терминальным устройствам
Пограничное устройство Webex Calling
Для совершения вызова или регистрации SIP выполните приведенные ниже действия.
-
Определите адрес узла терминального устройства SIP для активных пограничных узлов.
-
Выполните все предварительные условия, связанные с конфигурацией пользователя и устройства.
-
Убедитесь, что терминальное устройство имеет общедоступное сетевое подключение, чтобы начать обнаружение службы.
-
Выполните предварительные условия начальной загрузки терминального устройства с конфигурацией подготовки для конкретного региона или центра обработки данных. С помощью этой конфигурации можно получить соответствующий суффикс имени домена для обнаружения службы.
IPv4 и IPv6
Устройства могут работать в режиме с одним или двумя стеками. Изменения предпочтительного протокола определяются конфигурацией, и эти изменения не являются частью функции обнаружения службы.
-
В режиме с одним стеком используется только один протокол IP (например IPv4) и игнорируются адреса других протоколов.
-
В режиме с двумя стеками происходит выбор предпочтительной версии IP посредством конфигурации.
Клиент считает, что для всех предпочтительных адресов приоритет ниже (то есть предпочтительнее), чем для всех остальных адресов IP. Если предпочтительным является IPv4, осуществляется попытка использования всех адресов IPv4, прежде чем будет использован адрес IPv6. Если попытки использования всех адресов будут неудачными, цикл начинается снова с выбором предпочтительного адреса протокола с наименьшим приоритетом.
Мобильный клиент, регистрация которого осуществляется при получении push-уведомления, может принять решение об оптимизации режима на основе предыдущих регистраций.
Разрешение адреса узла из адреса SRV DNS
В файле конфигурации терминального устройства, полученном в процессе подготовки, индикатор домена указывает имя домена для обнаружения пограничной службы доступа. Пример имени домена:
wxc.edge.bcld.webex.com
В приведенном примере терминальное устройство, выполняющее поиск SRV DNS для этого домена, может предоставить ответ, подобный следующему:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
В этом случае запись SRV указывает на 3 A-записи.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
В примере все узлы объявлены для связи с портом 5061 с разным весом и приоритетом.
Учтите эти требования для терминальных устройств.
-
Терминальное устройство должно использовать
_sips._tcp
(сочетание службы и протокола) в качестве префикса для выполнения поиска SRV DNS для получения адреса узла для инициирования связи на основе TLS. -
Терминальное устройство должно выполнить поиск SRV DNS для условий, описанных в разделе Разрешение адреса узла из адреса SRV DNS.
-
Терминальное устройство должно учитывать узел, порт, вес и приоритет, объявленные для каждого адреса узла. Кроме того, оно должно создать привязку узла к порту при создании соединения сокета во время регистрации SIP.
-
Критерии выбора узлов на основе приоритета и веса, характерные для использования записи SRV DNS, описаны в RFC 2782.
Требования к SIP и мультимедиа
Требование |
Description |
---|---|
Сертификат доверия, необходимый для шифрования с открытым ключом |
Сведения о заверителе подписи и корневом ЦС сертификатов Webex, необходимых на устройствах, см. в этой статье. |
Версия TLS, поддерживаемая для безопасного SIP |
TLS 1.2 |
Шифры TLS, поддерживаемые для безопасного SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Ключи SRTP, поддерживаемые для безопасного мультимедиа |
AES_CM_128_HMAC_SHA1_80 |
Требования к безопасному SIP с mTLS (mutual TLS)
Требования подробно описаны ниже.
Подписанный сертификат необходим для успешной авторизации и аутентификации вызовов из магистрали. Сертификат должен соответствовать приведенным ниже требованиям.
-
Сертификат должен быть подписан центром сертификации, упомянутым в статье Какие корневые центры сертификации поддерживаются для вызовов на платформы аудио и видео Cisco Webex?
-
Загрузите в CUBE пакет доверия, упомянутый в разделе Какие корневые центры сертификации поддерживаются для вызовов на платформы аудио и видео Cisco Webex?.
-
Сертификат всегда должен быть действительным.
-
Подписанные сертификаты всегда должны иметь действительный срок действия.
-
Корневые или промежуточные сертификаты должны иметь действительный срок действия и не должны быть отозваны.
-
Сертификаты должны быть подписаны для использования клиентом и сервером.
-
Сертификаты должны содержать полное доменное имя (FQDN) в качестве общего имени или альтернативного имени субъекта в сертификате с FQDN, выбранном в Control Hub. Пример.
-
Магистраль, настроенная из Control Hub вашей организации со значением london.lgw.cisco.com:5061 в качестве FQDN, должна содержать запись london.lgw.cisco.com в CN или SAN сертификата.
-
Магистраль, настроенная из Control Hub вашей организации со значением london.lgw.cisco.com в качестве SRV, должна содержать запись london.lgw.cisco.com в CN или SAN сертификата. Записи, в которые преобразуется адрес SRV (CNAME / A-запись / IP-адрес), не являются обязательными в SAN.
-
-
Сертификаты можно предоставить для нескольких локальных шлюзов, однако необходимо убедиться, что соблюдены требования FQDN.
-
Вне области
Эта статья не содержит приведенных ниже сведений, относящихся к сетевой безопасности.
-
Требования F5 для ЦС и шифров.
-
API на базе HTTP для скачивания правил брандмауэра для Webex.
-
API для пакета доверия.
-
Требование к брандмауэру и отключение ALG.