- Главная
- /
- Статья
Требования к сети и безопасности выделенных экземпляров
Требования к сети и безопасности для решения выделенного экземпляра – это комплексный подход к функциям и функциональным возможностям, которые обеспечивают безопасный физический доступ, сеть, терминальные устройства и приложения Cisco UC. В нем описаны требования к сети и перечислены адреса, порты и протоколы, используемые для подключения конечных точек к службам.
Требования к сети для выделенного экземпляра
Webex Calling выделенный экземпляр является частью портфолио службы Вызовы в облаке Cisco на основе технологии Cisco Unified Communications Manager (унифицированная (служба) Cisco CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и обеспечения мобильности, а также функции и преимущества IP-телефонов, мобильных устройств и настольных клиентов Cisco, которые надежно подключаются к выделенной службе.
Эта статья предназначена для администраторов сети, особенно администраторов брандмауэра и безопасности прокси, которые хотят использовать выделенный экземпляр в своей организации.
Обзор безопасности: Безопасность в слоях
Выделенный экземпляр использует многоуровневый подход к обеспечению безопасности. К уровням относится:
-
Физический доступ
-
Сеть
-
Конечные точки
-
Приложения UC
В следующих разделах описаны уровни безопасности в развертываниях выделенных экземпляров .
Физическая безопасность
Важно обеспечить физическую безопасность для расположения комнаты Meet-Me Equinix и средств центра обработки данных Cisco , выделенных для экземпляров . В случае нарушения физической безопасности могут инициироваться простые атаки, такие как нарушение обслуживания путем отключения питания коммутаторов клиента. При физическом доступе злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также облегчает более сложные атаки, например атаки с человека с середины сети, поэтому второй уровень безопасности критически важен.
Диски самозашифрования используются в выделенных центрах обработки данных экземпляров , где находятся приложения UC.
Дополнительную информацию об общих методах безопасности см. в документации по адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Безопасность сети
Партнерам необходимо обеспечить безопасность всех элементов сети в инфраструктуре Dedicated Instance (которая соединяется с Equinix). Ответственность партнера за обеспечение передовой практики обеспечения безопасности:
-
Отдельная VLAN для передачи голоса и данных
-
В этой области можно включить режим безопасности для портов, ограничивающий число MAC-адресов, разрешенных для одного порта, по отношению к нагромоя таблицы CAM
-
Защиты источника IP от подмены IP-адресов
-
Динамический анализ ARP (DAI) анализирует протокол разрешения адресов (ARP) и нательное ARP (GARP) на факт нарушения (по отношению к подмене ARP)
-
802. Ограничение1x доступа к сети для аутентификации устройств в присвоенных сетях VLA (телефоны поддерживают 802.1x)
-
Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов
-
Конфигурации портов брандмауэра для блокирования любого другого трафика
Безопасность конечных точек
Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, защищенная загрузка (выбранные модели), сертификат изготовителя (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.
Кроме того, партнер или клиент может обеспечить дополнительную безопасность, в том числе:
-
Шифровать телефонные IP-услуги (посредством HTTPS) для таких услуг, как мобильность телефонных номеров
-
Выдают сертификаты местного качества (LSC) с функции прокси-сервера службы сертификации (CAPF) или публичного ЦС
-
Шифровать файлы конфигурации
-
Шифрование данных мультимедиа и сигнального канала
-
Отключать указанные настройки, если они не используются. порт ПК, доступ к голосовой сети VLAN для ПК, gratuitous ARP, web-доступ, кнопка настроек, SSH, консоль
Реализация механизмов безопасности в выделенном экземпляре предотвращает хищение личных данных телефонов и сервера Unified CM, не фальсификацию данных и ненамерение медиапотока.
Выделенный экземпляр сети:
-
Устанавливает и поддерживает потоки связи с аутентификацией
-
Перед передачей файла на телефон необходимо цифровой подписи
-
Шифрует потоки мультимедиа и сигнальные данные о вызовах между унифицированная (служба) Cisco IP-телефонами
По умолчанию система безопасности обеспечивает следующие функции автоматической защиты унифицированная (служба) Cisco IP-телефонов.
-
Подписание файлов конфигурации телефона
-
Поддержка шифрования файлов конфигурации телефона
-
HTTPS с Tomcat и другими веб-службами (MDlets)
Для Unified CM выпуска 8.0 и последующих выпусков эти функции безопасности предоставляются по умолчанию без запуска клиента CTL.
Служба проверки доверияПоскольку в сети большое количество телефонов и IP-телефоны имеют ограниченный объем памяти, унифицированная (служба) Cisco CM действует как удаленное хранилище доверия через службу проверки доверия (TVS), поэтому для каждого телефона не нужно размещать хранилище доверия сертификата. IP-телефоны Cisco для проверки обратились к серверу TVS, поскольку они не могут проверить подпись или сертификат посредством файлов CTL или ITL. Централизованное хранилище доверия проще в управлении, чем управление этим хранилищем в каждом из унифицированная (служба) Cisco IP-телефона.
Компания TVS позволяет унифицированная (служба) Cisco IP-телефонам аутентификацию серверов приложений, таких как услуги EM, каталог и MIDlet, во время установления HTTPS.
Исходный список доверияФайл исходного списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять унифицированная (служба) Cisco CM. ITL не требует явного включения функций безопасности. Файл ITL создается автоматически после установки кластера. Закрытый ключ сервера Trivial File Transfer Protocol (TFTP) Unified CM используется для подписи файла ITL.
Если кластер унифицированная (служба) Cisco CM или сервер находится в незабезопасном режиме, файл ITL скачивается на каждый поддерживаемый IP-телефон Cisco. Партнер может просматривать содержание файла ITL с помощью команды CLI admin:show itl.
IP-телефоны Cisco нуждаются в файле ITL для выполнения следующих задач:
-
Безопасная связь с CAPF – предварительным условием для поддержки шифрования файлов конфигурации
-
Аутентификация подписи файла конфигурации
-
Аутентификация серверов приложений, таких как службы EM, каталог и MIDlet во время установления HTTPS с помощью TVS
Аутентификация устройства, файла и сигнального сигнала зависит от создания файла CTL, который создается после установки партнером или клиентом клиента и настройки клиента списка доверия сертификата Cisco.
Файл CTL содержит записи для следующих серверов или маркеров безопасности:
-
Маркер безопасности (SAST) для системного администратора
-
Службы Cisco CallManager и Cisco TFTP, работающие на одном сервере
-
Функция прокси-сервера для органов сертификации (CAPF)
-
Серверы TFTP
-
Межсетевой экран ASA
Файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.
Функции защиты телефона с помощью CTL:
-
Аутентификация скачаемых файлов TFTP (конфигурация, региональные настройки, список мелодий и т. г.) с помощью ключа подписи
-
Шифрование файлов конфигурации TFTP с помощью подписи
-
Шифрование сигналов вызова для IP-телефонов
-
Шифрование аудио вызовов (медиа) для IP-телефонов
Выделенный экземпляр обеспечивает регистрацию оконечной точки и обработку вызовов. Сигнальные данные между унифицированная (служба) Cisco CM и конечными точками основаны на протоколе управления secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и могут быть зашифрованы с помощью протокола TLS (Transport Layer Security). Мультимедиа от/до конечных точек основывается на транспортных протоколах реального времени (RTP), а также может быть зашифровано с помощью безопасного протокола RTP (SRTP).
Включение смешанного режима в Unified CM позволяет шифрование сигнального и медиа трафика от и до конечных точек Cisco.
Защищенные приложения UC
Включение смешанного режима в выделенном экземпляреПо умолчанию в выделенном экземпляре смешанный режим включен.
Включение смешанного режима в выделенном экземпляре позволяет выполнять шифрование сигнального и медиа трафика от и до оконечного устройства Cisco.
В унифицированная (служба) Cisco CM 12.5(1) для клиентов Jabber и Webex был добавлен новый параметр шифрования сигнального и медиасигналов на основе OAuth SIP вместо смешанного режима / CTL. Таким образом, в выпуске Unified CM 12.5(1) SIP OAuth и SRTP можно использовать для шифрования сигналов и мультимедиа для клиентов Jabber или Webex. В настоящее время для IP-телефонов Cisco и других конечных точек Cisco по-прежнему требуется включение смешанного режима. В будущем выпуске планируется добавить поддержку SIP OAuth для оконечного тока 7800/8800.
Безопасность обмена голосовыми сообщениямиCisco Unity Connection Unified CM через порт TLS. Если режим безопасности устройства не является защищенным, Cisco Unity Connection к Unified CM через порт SCCP.
Для настройки безопасности портов голосовых сообщений Unified CM и устройств Cisco Unity с устройствами SCCP или Cisco Unity Connection с SCCP партнер может выбрать для порта режим защиты устройств. При выборе порта голосовой почты с аутентификацией открывается соединение TLS, которое аутентификация устройств с помощью mutual certificate exchange (каждое устройство принимает сертификат другого устройства). При выборе порта голосовой почты с шифрованием система сначала аутентификация устройств, а затем отправляет между устройствами зашифрованные голосовые потоки.
Дополнительные сведения о портах голосовых сообщений системы безопасности можно найти на сайте: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Безопасность для SRST, магистральных шлюзов, шлюзов, CUBE/SBC
Если унифицированная (служба) Cisco CM на выделенном экземпляре не может завершить вызов, шлюз с поддержкой унифицированная (служба) Cisco удаленных сайтов (SRST) обеспечивает ограниченную обработку вызовов.
Защищенные шлюзы с поддержкой SRST содержат самозаверяя сертификат. После выполнения партнером задач настройки SRST в службе администрирования Unified CM Unified CM для аутентификации со службой поставщика сертификатов в шлюзе с поддержкой SRST используется соединение TLS. Затем Unified CM извлекает сертификат из шлюза с поддержкой SRST и добавляет сертификат в базу данных Unified CM.
После сброса партнером зависимых устройств в службе администрирования Unified CM сервер TFTP добавляет сертификат шлюза с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Защищенный телефон затем использует соединение TLS для взаимодействия с шлюзом с поддержкой SRST.
Рекомендуется иметь защищенные магистрали для вызова, исходящие от унифицированная (служба) Cisco CM к шлюзу, для исходящие вызовы PSTN или обхода через граничный элемент унифицированная (служба) Cisco (CUBE).
Магистрали SIP поддерживают защищенные вызовы как для сигнального, так и для мультимедиа; Протокол TLS обеспечивает шифрование сигнального сигнала, а SRTP обеспечивает шифрование мультимедиа.
Обеспечение безопасности связи между Cisco Unified CM и CUBE
Для безопасного взаимодействия между унифицированная (служба) Cisco CM и CUBE партнеры/клиенты должны использовать либо самозаверяют сертификаты, либо сертификаты, подписанные ЦС.
Для самозаверяных сертификатов:
-
CUBE и унифицированная (служба) Cisco CM создают самозаверяют сертификаты
-
CUBE экспортирует сертификат в унифицированная (служба) Cisco CM
-
унифицированная (служба) Cisco CM экспортирует сертификат в CUBE
Для сертификатов, подписанных ЦС:
-
Клиент создает пару ключей и отправляет запрос на подпись сертификата (CSR) в центр сертификации (CA).
-
ЦС подписывает его с помощью закрытого ключа, создавая сертификат удостоверения
-
Клиент устанавливает список доверенных корневых и посредникных сертификатов ca и сертификата идентификации
Безопасность удаленных терминальных устройств
При наличии конечных точек Remote Access (MRA) сигнализация и мультимедиа всегда шифруются между конечными точками MRA и Expressway узлами. Если для конечных точек MRA используется протокол установления интерактивного соединения (ICE), для оконечного устройства MRA необходимо шифрование сигнального протокола и среды оконечного устройства. Однако для шифрования сигнального и медиасигналов между серверами Expressway-C и внутренними серверами Unified CM, внутренними конечными точками или другими внутренними устройствами необходим смешанный режим или SIP OAuth.
Cisco Expressway обеспечивает безопасный обход брандмауэра и поддержку на стороне линии для регистраций Unified CM. Unified CM обеспечивает управление вызовами как для мобильных, так и для локальной конечных точек. Сигнальный сигнал проходит через решение Expressway между удаленным оконечнным точком и Unified CM. Мультимедиа проходит через Expressway и ретранслируется между конечными точками напрямую. Все мультимедиа шифруются между Expressway-C и мобильной конечной точкой.
Любое решение MRA требует на Expressway Unified CM с совместимыми с MRA клиентами и/или фиксированными конечными точками. Дополнительное решение может включать службы im и Presence и Unity Connection.
Сводная информация о протоколе
В таблице ниже показаны протоколы и связанные с ними службы, используемые в решении Unified CM.
Протокол |
Безопасность |
Служба |
---|---|---|
SIP |
TLS |
Установление сеанса: Регистрация, приглашение и т. д. |
HTTPS |
TLS |
Войт, и подготовка/настройка, каталог, визуальная голосовая почта |
Медиа- |
SRTP |
Носителя: Аудио, видео, совместный доступ к контенту |
XMPP |
TLS |
Обмен мгновенными сообщениями, присутствие, федерация |
Более подробную информацию о конфигурации MRA см. в: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Параметры конфигурации
Выделенный экземпляр обеспечивает партнеру гибкие возможности настройки служб для конечных пользователей посредством полного управления настройкой двухдневных конфигураций. В результате партнер исключительно отвечает за надлежащую настройку службы выделенных экземпляров для среды конечного пользователя. К ним, в частности, относятся:
-
Выбор безопасных/незабезопасных вызовов, протоколов защиты и защиты, таких как SIP/sSIP, http/https и т. д., и понимание всех связанных с этим факторов риска.
-
Для всех MAC-адресов, не настроенных как безопасные SIP в выделенном экземпляре, злоумышленник может отправлять сообщение регистрации SIP с помощью этого MAC-адреса и иметь возможность посылать вызовы SIP , что приводит к мошенничеству. Злоумышленник может зарегистрировать свое устройство или программное обеспечение SIP в выделенном экземпляре без авторизации, если он знает MAC-адрес устройства, зарегистрированного в выделенном экземпляре.
-
Expressway вызовов "-E", для предотвращения мошенничества при оплате вызовов необходимо настроить правила преобразования и поиска. Чтобы получить более подробную информацию о предотвращении мошенничества с использованием Expressway, обратитесь к разделу Безопасность Expressway C и Expressway-E для совместной работы SRND.
-
Конфигурация плана набора, чтобы пользователи могли использовать только разрешенные назначения набора, например, запретить набор национальных и международных номеров, правильная маршрутизация экстренных вызовов и т. д. Дополнительную информацию о применении ограничений с использованием плана набора см. в разделе План набора раздела службы SRND для совместной работы.
Требования к сертификату для безопасных соединений в выделенном экземпляре
Для выделенного экземпляра Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью публичного сертификата (CA).
Выделенный экземпляр: номера портов и протоколы
В таблицах ниже описаны порты и протоколы, поддерживаемые в выделенном экземпляре. Порты, используемые для данного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтительных параметров клиента (SCCP против SIP), существующих локальных устройств и уровня безопасности для определения портов, которые будут использоваться в каждом развертывании.
Для выделенного экземпляра не разрешено преобразование сетевых адресов (NAT) между терминальными устройствами и Unified CM, поскольку некоторые функции потока вызовов не будут работать, например функция во время вызова.
Выделенный экземпляр – порты клиента
Доступные для клиентов порты – между локальной и выделенной экземплярами клиента отображается в таблице 1 Выделенные порты клиента экземпляра. Все перечисленные ниже порты для трафика клиента, который проходит через одноранговые соединения.
Порт SNMP по умолчанию открыт только для Cisco Emergency Responder для поддержки его функциональных возможностей. Поскольку мы не поддерживаем партнеров или клиентов, отслеживающих приложения UC, развернутые в облаке выделенного экземпляра, открытие порта SNMP для других приложений UC запрещено.
Порты в диапазоне от 5063 до 5080 зарезервированы компанией Cisco для других облачных интеграций. Администраторам партнеров или клиентов рекомендуется не использовать эти порты в своих конфигурациях.
Протокол |
TCP/UDP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
Ssh |
Протокол TCP |
Клиент |
Приложения UC Не разрешено для приложений Cisco Expressway. |
Более 1023 |
22 |
Администрирование |
TFTP |
UDP |
Терминальное устройство |
Unified CM |
Более 1023 |
69 |
Поддержка устаревших терминальных устройств |
LDAP; |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
389 |
Синхронизация каталогов с клиентом LDAP |
HTTPS |
Протокол TCP |
Браузер |
Приложения UC |
Более 1023 |
443 |
Веб-доступ для интерфейсов самостоятельного обслуживания и администрирования |
Исходящие сообщения (SECURE) |
Протокол TCP |
Приложение UC |
CUCxn |
Более 1023 |
587 |
Используется для составить и передать защищенные сообщения любым назначенным получателям |
LDAP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
636 |
Синхронизация каталогов с клиентом LDAP |
H323 |
TCP |
Шлюз |
Unified CM |
Более 1023 |
1720 |
Сигнализация вызовов |
H323 |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
1720 |
Сигнализация вызовов |
SCCP |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
2000 |
Сигнализация вызовов |
SCCP |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
2000 |
Сигнализация вызовов |
mgcp |
UDP |
Шлюз |
Шлюз |
Более 1023 |
2427 |
Сигнализация вызовов |
MGCP Backhaul |
TCP |
Шлюз |
Unified CM |
Более 1023 |
2428 |
Сигнализация вызовов |
SCCP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
2443 |
Сигнализация вызовов |
SCCP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
2443 |
Сигнализация вызовов |
Проверка доверия |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2445 |
Предоставление конечным точкам службы проверки доверия |
Cti |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2748 |
Соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
Защищенная CTI |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
2749 |
Безопасное соединение между приложениями CTI (JTAPI/TSP) и CTIManager |
Глобальный каталог LDAP |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
3268 |
Синхронизация каталогов с клиентом LDAP |
Глобальный каталог LDAP |
Протокол TCP |
Приложения UC |
Внешний каталог |
Более 1023 |
3269 |
Синхронизация каталогов с клиентом LDAP |
Служба CAPF |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
3804 |
Порт прослушивания функции прокси-сервера органов сертификации (CAPF) для выдачи IP-телефонам сертификатов местного разрешения (LSC) |
SIP |
Протокол TCP |
Терминальное устройство |
Unified CM, CUCxn |
Более 1023 |
5060 |
Сигнализация вызовов |
SIP |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
5060 |
Сигнализация вызовов |
SIP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
5061 |
Сигнализация вызовов |
SIP (БЕЗОПАСНЫЙ) |
Протокол TCP |
Unified CM |
Unified CM, шлюз |
Более 1023 |
5061 |
Сигнализация вызовов |
SIP (OAUTH) |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
5090 |
Сигнализация вызовов |
XMPP |
Протокол TCP |
Клиент Jabber |
Cisco IM&P |
Более 1023 |
5222 |
Обмен мгновенными сообщениями и присутствие |
HTTP |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6970 |
Загрузка конфигурации и изображений в конечные точки |
HTTPS |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6971 |
Загрузка конфигурации и изображений в конечные точки |
HTTPS |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
6972 |
Загрузка конфигурации и изображений в конечные точки |
HTTP |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7080 |
Уведомления голосовой почты |
HTTPS |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7443 |
Уведомления о защищенной голосовой почте |
HTTPS |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
7501 |
Используется службой межluster Lookup Service (ILS) для аутентификации на основе сертификатов |
HTTPS |
Протокол TCP |
Unified CM |
Unified CM |
Более 1023 |
7502 |
Используется ILS для аутентификации на основе пароля |
IMAP |
Протокол TCP |
Клиент Jabber |
CUCxn |
Более 1023 |
7993 |
IMAP по TLS |
HTTP |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
8080 |
URI каталога для поддержки устаревших терминальных устройств |
HTTPS |
Протокол TCP |
Браузер, конечная точка |
Приложения UC |
Более 1023 |
8443 |
Веб-доступ для самостоятельного управления и административных интерфейсов, UDS |
HTTPS |
Протокол TCP |
Телефон |
Unified CM |
Более 1023 |
9443 |
Поиск контактов с аутентификацией |
HTTP-адреса |
Протокол TCP |
Терминальное устройство |
Unified CM |
Более 1023 |
9444 |
Функция управления гарнитурой |
Защищенный RTP/SRTP |
UDP |
Unified CM |
Телефон |
С 16384 по 32767* |
С 16384 по 32767* |
Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова) |
Защищенный RTP/SRTP |
UDP |
Телефон |
Unified CM |
С 16384 по 32767* |
С 16384 по 32767* |
Мультимедиа (аудио) – музыка в удержании, Annunciator, программный мост конференц-связи (открыт на основании сигналов вызова) |
кобры |
Протокол TCP |
Клиент |
CUCxn |
Более 1023 |
20532 |
Резервное копирование и восстановление пакета приложений |
ICMP |
ICMP |
Терминальное устройство |
Приложения UC |
н/д |
н/д |
Проверка связи |
ICMP |
ICMP |
Приложения UC |
Терминальное устройство |
н/д |
н/д |
Проверка связи |
DNS | UDP и TCP |
Переадресатор DNS |
DNS-серверы выделенного экземпляра |
Более 1023 |
53 |
Переадресации локальных DNS клиента на DNS-серверы выделенного экземпляра. Дополнительную информацию см. в разделе Требования к DNS . |
* Для некоторых особых случаев может применяться большее количество случаев. |
Выделенный экземпляр: порты OTT
Клиенты и партнеры могут использовать указанный ниже порт для настройки доступа с мобильных устройств и удаленного доступа (MRA).
Протокол |
TCP/UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
ЗАЩИЩЕННЫЙ RTP/RTCP |
UDP |
Expressway C |
Клиент |
Более 1023 |
36000-59999 |
Защищенный медиа -для вызовов MRA и B2B |
Межоперационная магистраль SIP между мультиклиентом и выделенным экземпляром (только для магистрали на основе регистрации)
Для подключения магистрали SIP между клиентом и выделенным экземпляром в брандмауэре клиента должен быть разрешен приведенный ниже список портов.
Протокол |
TCP/UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Мультиклиент Webex Calling |
Клиент |
Более 1023 |
8000-48198 |
Мультимедиа из мультиклиента Webex Calling |
Выделенный экземпляр: порты UCCX
Клиенты и партнеры могут использовать следующий список портов для настройки UCCX.
Протокол |
TCP / UCP |
Source |
Адресат |
Исходный порт |
Порт назначения |
Цель |
---|---|---|---|---|---|---|
Ssh |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
22 |
SFTP и SSH |
Informix |
Протокол TCP |
Клиент или сервер |
UCCX |
Более 1023 |
1504 |
Порт базы данных Contact Center Express |
SIP |
UDP и TCP |
Сервер SIP GW или MCRP |
UCCX |
Более 1023 |
5065 |
Связь с удаленными узлами GW и MCRP |
XMPP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
5223 |
Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями |
Cvd |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
6999 |
Приложения Editor to CCX |
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
7443 |
Безопасное подключение КОШ между сервером Finesse и рабочими столами операторов и диспетчеров для передачи данных по HTTPS |
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8080 |
Клиенты отчетов с динамическими данными подключаются к серверу socket.IO |
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8081 |
Клиентский браузер пытается получить доступ к веб унифицированная (служба) Cisco-интерфейсу Intelligence Center |
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8443 |
Графический интерфейс администратора, RTMT, доступ к базе данных через SOAP |
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8444 |
унифицированная (служба) Cisco- и web-интерфейса Intelligence Center |
HTTPS |
Протокол TCP |
Клиенты для браузеров и REST |
UCCX |
Более 1023 |
8445 |
Защищенный порт для Finesse |
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8447 |
HTTPS – онлайн-справка центра Unified Intelligence Center |
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
8553 |
Компоненты системы единого входа (SSO) получают доступ к этому интерфейсу, чтобы узнать состояние работы Cisco IdS. |
HTTP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
9080 |
Клиенты, пытаются получить доступ к триггерам HTTP, документам, подсказкам/ грамматикам / данным в прямом эфире. |
HTTPS |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
9443 |
Защищенный порт, используемый для реагирования на запросы клиентов о доступе к триггерам HTTPS |
Протокол TCP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12014 |
Это порт, по которому клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO |
Протокол TCP |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12015 |
Это порт, по которому клиенты отчетов с динамическими данными могут подключаться к серверу socket.IO |
Cti |
Протокол TCP |
Клиент |
UCCX |
Более 1023 |
12028 |
Сторонний клиент CTI в CCX |
RTP (мультимедиа) |
Протокол TCP |
Терминальное устройство |
UCCX |
Более 1023 |
Более 1023 |
При необходимости порт мультимедиа открывается динамически. |
RTP (мультимедиа) |
Протокол TCP |
Клиент |
Терминальное устройство |
Более 1023 |
Более 1023 |
При необходимости порт мультимедиа открывается динамически. |
Безопасность клиента
Защита Jabber и Webex с помощью SIP OAuth
Аутентификация клиентов Jabber и Webex обеспечивается посредством маркера OAuth вместо локального сертификата (LSC), что не требует возможности аутентификации прокси-сервера сертификации (CAPF) (для MRA). В унифицированная (служба) Cisco CM 12.5(1), Jabber 12.5 и Expressway X12.5 был введен SIP OAuth и без него.
В унифицированная (служба) Cisco CM 12.5 в профиле безопасности телефона есть новый параметр, позволяющий шифрование без использования LSC/CAPF с использованием маркера OAuth + single Transport Layer Security (TLS) + OAuth в SIP REGISTER. Expressway-C узлы используют API административной веб-службы XML (AXL) для информирования унифицированная (служба) Cisco CM о SN/SAN в своем сертификате. унифицированная (служба) Cisco CM использует эту информацию для проверки сертификата Exp-C при установлении mutual TLS соединения.
SIP OAuth включает шифрование мультимедиа и сигнального трафика без сертификата конечной точки (LSC).
Для скачивания файлов конфигурации Cisco Jabber через подключение HTTPS к серверу TFTP использует ненамеренный порт и защищенные порты 6971 и 6972. Порт 6970 является неза защищенным портом для загрузки посредством HTTP.
Дополнительные сведения о конфигурации SIP OAuth: Режим SIP OAuth.
Требования к DNS
Для выделенного экземпляра Cisco предоставляет FQDN службы в каждом регионе в следующем формате: ..wxc-di.webex.com , например xyz.amer.wxc-di.webex.com.
Значение клиента предоставляется администратором в рамках мастера первой настройки (FTSW). Дополнительные сведения можно найти в ссылке Активация службы для выделенных экземпляров.
Для поддержки локального устройства, подключенного к выделенной службе, необходимо разрешить записи DNS для этого FQDN на внутреннем DNS-сервере клиента. Для упрощения разрешения проблем клиенту необходимо настроить условный перенастройщик для этого FQDN на DNS-сервере, который будет на сервере DNS, а также на службу DNS выделенного экземпляра. Служба DNS выделенного экземпляра является региональной и может быть доступна посредством пиринга к выделенному экземпляру с помощью следующих IP-адресов, как указано в таблице ниже IP-адрес службы DNS выделенного экземпляра.
Регион/ЦС | IP-адрес службы DNS выделенного экземпляра |
Пример условной переадментции |
---|---|---|
Северная и Южная Америка |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
Евросоюз |
<customer>.eu.wxc-di.webex.com |
|
между |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
Азиатско-Тихоокеанский регион, Япония и Китай (APJC) |
<customer>.apjc.wxc-di.webex.com |
|
Грех |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Мел |
178.215.128.100 |
|
Сид |
178.215.128.228 |
|
Соединенное Королевство |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
мужчина |
178.215.135.228 |
В целях безопасности параметр ping отключен для вышеуказанных IP-адресов DNS-серверов.
Устройства не смогут регистрироваться в выделенном экземпляре из внутренней сети клиента посредством одноранговых ссылок, пока не будет зарегистрировано условное перенаправляние. Условная переадментация не требуется для регистрации с помощью мобильных устройств и службы Remote Access (MRA), поскольку все необходимые внешние записи DNS для упрощения MRA будут предварительно подготовки компании Cisco.
При использовании приложения Webex в качестве программы телефонии для выделенного экземпляра необходимо настроить профиль менеджера UC в Control Hub для домена голосовой службы (VSD) в каждом регионе. Дополнительные сведения можно найти в профиле менеджера UC в Cisco Webex Control Hub. Приложение Webex сможет автоматически разрешать клиентскую сеть Expressway Edge без какого-либо вмешательства конечного пользователя.
Домен голосовой службы будет предоставлен клиенту в рамках документа о доступе партнера после завершения активации службы.
Использовать локальный маршрутизатор для разрешения DNS телефона
Для телефонов, у которых нет доступа к корпоративным серверам DNS, можно использовать локальный маршрутизатор Cisco для переадресации запросов DNS в облачный DNS выделенного экземпляра. Это устраняет необходимость развертывания локального сервера DNS и обеспечивает полную поддержку DNS, включая кэширование.
Пример конфигурации :
!
сервер IP DNS
IP name-server
!
Использование DNS в этой модели развертывания характерно для телефонов и может использоваться только для разрешения FQDN с доменом от клиентов выделенного экземпляра.
Ссылки
-
Справка по сетевым проектам решений Cisco Collaboration 12.x (SRND), тема безопасности: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Руководство по безопасности для Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html