В этом документе основное внимание уделяется требованиям к сети и безопасности для решения выделенного экземпляра, включая многоуровневый подход к функциям и функциям, которые обеспечивают безопасный физический доступ, безопасную сеть, безопасные конечные точки и защищенные приложения Cisco UC .
Требования к сети для выделенного экземпляра
Выделенный экземпляр Webex Calling является частью портфеля облако Cisco Calling, основанного на технологии совместной работы Cisco Unified Communications Manager (Cisco Unified CM). Выделенный экземпляр предлагает решения для передачи голоса, видео, обмена сообщениями и мобильности с функциями и преимуществами IP -телефонов Cisco , мобильных устройств и клиентов для настольных ПК, которые безопасно подключаются к выделенному экземпляру.
Эта статья предназначена для администраторов сети, в частности администраторов безопасности брандмауэра и прокси, которые хотят использовать выделенный экземпляр в своей организации.
Обзор безопасности: Безопасность в слоях
Выделенный экземпляр использует многоуровневый подход к безопасности. Слои включают:
Физический доступ
Сеть
Конечные точки
Приложения UC
В следующих разделах описаны уровни безопасности в Выделенный экземпляр развертывания.
Физическая безопасность
Важно обеспечить физическую безопасность помещений Equinix Meet-Me Room и Cisco. Выделенный экземпляр Услуги дата-центра. Когда физическая безопасность скомпрометирована, могут быть инициированы простые атаки, такие как прерывание обслуживания путем отключения питания коммутаторов клиента. Имея физический доступ, злоумышленники могут получить доступ к серверным устройствам, сбросить пароли и получить доступ к коммутаторам. Физический доступ также способствует более изощренным атакам, таким как атаки типа "злоумышленник в середине", поэтому второй уровень безопасности, сетевая безопасность, имеет решающее значение.
Диски с самошифрованием используются в Выделенный экземпляр Центры обработки данных, в которых размещаются приложения UC.
Дополнительную информацию об общих методах обеспечения безопасности см. В документации по следующему адресу: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Сетевая безопасность
Партнерам необходимо обеспечить безопасность всех сетевых элементов. Выделенный экземпляр инфраструктура (которая подключается через Equinix). В обязанности партнера входит обеспечение таких рекомендации безопасности, как:
Отдельная виртуальная локальная сеть для голоса и данных
Включить защиту порта, которая ограничивает количество MAC -адресов, разрешенных для каждого порта, от переполнения таблицы CAM
Защита источника IP от подделки IP -адресов
Dynamic ARP Inspection (DAI) проверяет протокол разрешения адресов (ARP) и бесплатный ARP (GARP) на предмет нарушений (от спуфинга ARP)
802.1x ограничивает доступ к сети для аутентификации устройств в назначенных VLAN (телефоны поддерживают 802.1x )
Настройка качества обслуживания (QoS) для соответствующей маркировки голосовых пакетов
Конфигурация портов брандмауэра для блокировки любого другого трафика
Безопасность конечных точек
Конечные точки Cisco поддерживают функции безопасности по умолчанию, такие как подписанное микропрограммное обеспечение, безопасная загрузка (выбранные модели), установленный производителем сертификат (MIC) и подписанные файлы конфигурации, которые обеспечивают определенный уровень безопасности для конечных точек.
Кроме того, партнер или заказчик могут включить дополнительную безопасность, например:
Шифрование служб IP-телефон (через HTTPS) для таких служб, как Extension Mobility
Выдача локально значимых сертификатов (LSC) с помощью функция прокси центра сертификации (CAPF) или общедоступного центра сертификации (CA)
Шифровать файлы конфигурации
Шифрование мультимедиа и сигналов
Отключите эти настройки, если они не используются: порт ПК ПК , голосовой доступ к виртуальная локальная сеть с ПК, бесплатный ARP, веб доступ, кнопка настроек, SSH, консоль
Внедрение механизмов безопасности в Выделенный экземпляр предотвращает кражу идентификационных данных телефонов и сервер Unified CM, фальсификацию данных и фальсификацию сигналов вызова / медиа-потока.
Выделенный экземпляр по сети:
Устанавливает и поддерживает аутентифицированные потоки связи
Цифровая подпись файлов перед передачей файла на телефон
Шифрование медиапотоков и сигнализации вызовов между IP -телефонами Cisco Unified
Безопасность по умолчанию обеспечивает следующие автоматические функции безопасности для IP -телефонов Cisco Unified:
Подписание файлов конфигурация телефона
Поддержка шифрования файла конфигурация телефона
HTTPS с Tomcat и другими веб службами (мидлеты)
Для Unified CM Release 8.0 эти функции безопасности предоставляются по умолчанию без запуска клиента списка доверенных сертификатов (CTL).
Поскольку в сети имеется большое количество телефонов, а память IP -телефонов ограничена, Cisco Unified CM действует как удаленное хранилище доверенных сертификатов через службу проверки доверия (TVS), поэтому хранилище доверенных сертификатов не требуется размещать на каждом телефоне. Телефоны Cisco IP связываются с сервером TVS для проверки, поскольку они не могут проверить подпись или сертификат через файлы CTL или ITL. Управлять центральным хранилищем доверенных сертификатов проще, чем иметь хранилище доверенных сертификатов на каждом IP-телефон Cisco Unified.
TVS позволяет унифицированным IP -телефонам Cisco аутентифицировать серверы приложений, такие как службы EM , каталог и MIDlet, во время установления HTTPS.
Файл начального списка доверия (ITL) используется для начальной безопасности, чтобы конечные точки могли доверять Cisco Unified CM. ITL не требует явного включения каких-либо функций безопасности. Файл ITL создается автоматически при установке кластера. Для подписи файла ITL используется закрытый ключ сервера Unified CM Trivial File Transfer Protocol (TFTP).
Когда кластер или сервер Cisco Unified CM находится в безопасный режим , файл ITL загружается на каждый поддерживаемый IP-телефон Cisco . Партнер может просматривать содержимое файла ITL с помощью команды команда CLI admin: show itl.
IP -телефонам Cisco необходим файл ITL для выполнения следующих задач:
Безопасное взаимодействие с CAPF, необходимое условие для поддержки шифрования файл конфигурации
Проверка подписи файл конфигурации
Аутентификация серверов приложений, таких как службы EM , каталог и мидлет, во время установления HTTPS с помощью TVS
Аутентификация устройств, файлов и сигналов основывается на создании файла списка доверенных сертификатов (CTL), который создается, когда партнер или клиент устанавливает и настраивает клиент списка доверия сертификатов Cisco .
файл CTL содержит записи для следующих серверов или токенов безопасности:
Токен безопасности системного администратора (SAST)
Службы Cisco CallManager и Cisco TFTP , работающие на одном сервере
Функция прокси центр сертификации (CAPF)
Сервер (ы) TFTP
брандмауэр ASA
файл CTL содержит сертификат сервера, открытый ключ, серийный номер, подпись, имя эмитента, имя субъекта, функцию сервера, имя DNS и IP-адрес для каждого сервера.
Защита телефона с помощью CTL обеспечивает следующие функции:
Аутентификация загруженных файлов TFTP (конфигурация, локаль, список звонков и т. Д.) С помощью ключа подписи
Шифрование файлов конфигурации TFTP с помощью ключа подписи
Зашифрованная сигнализация вызова для IP -телефонов
Зашифрованный звук вызова (мультимедиа) для IP -телефонов
Выделенный экземпляр обеспечивает регистрацию конечной точки и обработка вызова. Передача сигналов между Cisco Unified CM и конечными точками основана на протоколе Secure Skinny Client Control Protocol (SCCP) или протокол установления сеанса (SIP) и может быть зашифрована с использованием Transport Layer Security TLS. Медиафайлы от / до конечных точек основаны на транспортном протоколе в реальном времени (RTP) и также могут быть зашифрованы с использованием безопасного RTP (SRTP).
Включение смешанного режима в Unified CM обеспечивает шифрование трафик мультимедиа от конечных точек Cisco и к ним.
Безопасные приложения UC
Смешанный режим включено по умолчанию в Выделенный экземпляр .
Включение смешанного режима в Выделенный экземпляр позволяет выполнять шифрование сигнального и трафик мультимедиа от конечных точек Cisco и к ним.
В выпуске Cisco Unified CM 12.5 (1) для клиентов Jabber и Webex был добавлен новый параметр, позволяющий включить шифрование сигналов и мультимедиа на основе SIP OAuth вместо смешанного режима / CTL . Таким образом, в Unified CM Release 12.5 (1) SIP OAuth и SRTP могут использоваться для включения шифрования сигналов и мультимедиа для клиентов Jabber или Webex . В настоящее время для IP -телефонов Cisco и других оконечных Cisco по-прежнему требуется включение смешанного режима. В следующем выпуске планируется добавить поддержку SIP OAuth в конечных точках 7800/8800.
Cisco Unity Connection подключается к Unified CM через порт TLS . Когда режим безопасности устройства небезопасен, Cisco Unity Connection подключается к Unified CM через порт SCCP .
Чтобы настроить безопасность для портов передачи голосовых сообщений Unified CM и устройств Cisco Unity , на которых работает SCCP , или устройств Cisco Unity Connection , на которых работает SCCP, партнер может выбрать для порта безопасный режим безопасности устройства. Если вы выберете порт голосовой почты с аутентификацией, откроется соединение TLS , которое аутентифицирует устройства с помощью взаимного обмена сертификатами (каждое устройство принимает сертификат другого устройства). Если вы выбираете зашифрованный порт голосовой почты, система сначала аутентифицирует устройства, а затем отправляет зашифрованные голосовые потоки между устройствами.
Дополнительную информацию о портах передачи голосовых сообщений безопасности см. В следующих разделах: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Безопасность для SRST, транков, шлюзов, CUBE / SBC
Шлюз с поддержкой Cisco Unified Survivable Remote Site Telephony (SRST) обеспечивает ограниченные задачи обработки вызовов, если Cisco Unified CM включен. Выделенный экземпляр не может завершить вызов.
Безопасные шлюзы с поддержкой SRST содержат самоподписанный сертификат. После того как партнер выполнит задачи настройки SRST в администрирование Unified CM, Unified CM использует соединение TLS для аутентификации со службой поставщика сертификатов на шлюз с поддержкой SRST. Затем Unified CM извлекает сертификат из шлюз с поддержкой SRST и добавляет его в базу данных Unified CM .
После того как партнер сбрасывает зависимые устройства в администрирование Unified CM, сервер TFTP добавляет сертификат шлюз с поддержкой SRST с поддержкой SRST в файл cnf.xml телефона и отправляет файл на телефон. Затем защищенный телефон использует соединение TLS для взаимодействия со шлюзом с шлюз с поддержкой SRST.
Рекомендуется иметь защищенные соединительные линии для вызовов, исходящих от Cisco Unified CM к шлюзу для исходящих вызовов PSTN или проходящих через Cisco Unified Border Element (CUBE).
SIP могут поддерживать безопасные вызовы как для сигнализации, так и для мультимедиа; TLS обеспечивает шифрование сигналов, а SRTP обеспечивает шифрование мультимедиа.
Защита связи между Cisco Unified CM и CUBE
Для безопасного обмена данными между Cisco Unified CM и CUBE партнеры / клиенты должны использовать либо самоподписанный сертификат, либо сертификаты, подписанные ЦС.
Для самоподписанных сертификатов:
CUBE и Cisco Unified CM генерируют самоподписанные сертификаты
CUBE экспортирует сертификат в Cisco Unified CM
Cisco Unified CM экспортирует сертификат в CUBE
Для сертификатов, подписанных ЦС:
Клиент генерирует пару ключей и отправляет запрос на подпись сертификата (CSR) в центр центр сертификации (CA)
ЦС подписывает его своим закрытым ключом, создавая удостоверение личности.
Клиент устанавливает список доверенных корневых и промежуточных сертификатов ЦС, а также удостоверение личности.
Безопасность удаленных конечных точек
При использовании конечных точек мобильного и Remote Access (MRA) передача сигналов и мультимедиа между конечными точками MRA и узлами Expressway всегда шифруется. Если для оконечных точек MRA используется протокол интерактивного установления соединения (ICE), требуется шифрование сигналов и мультимедиа оконечных точек MRA. Однако для шифрования сигналов и мультимедиа между Expressway-C и внутренними серверами Unified CM , внутренними конечными точками или другими внутренними устройствами требуется смешанный режим или SIP OAuth.
Cisco Expressway обеспечивает безопасный обход межсетевого экрана и поддержку на стороне линии для регистрации Unified CM . Unified CM обеспечивает управление вызовами как для мобильных, так и для локальный конечных точек. Передача сигналов проходит через решение Expressway между удаленной конечной точкой и Unified CM. Медиа проходит через решение Expressway и напрямую передается между конечными точками. Все мультимедийные данные между Expressway-C и мобильной конечной точкой зашифрованы.
Любое решение MRA требует Expressway и Unified CM с MRA-совместимыми программными клиентами и / или фиксированными конечными точками. Решение может дополнительно включать службы мгновенные сообщения сообщениями, служба Presence и Unity Connection.
Сводка протокола
В следующей таблице показаны протоколы и связанные службы, используемые в решении Unified CM .
Protocol |
Безопасность |
Служба |
|---|---|---|
SIP |
TLS |
Создание сеанса: Зарегистрируйтесь, пригласите и т. Д. |
HTTPS |
TLS |
Вход в систему, подготовка / настройка, каталог, визуальная голосовая почта |
Медиа- |
SRTP |
СМИ: Аудио, видео, обмен контентом |
XMPP |
TLS |
Мгновенный обмен сообщениями, присутствие, федерация |
Дополнительные сведения о настройке MRA см. https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Параметры конфигурации
В Выделенный экземпляр Предоставляет партнеру возможность гибко настраивать службы для конечных пользователей за счет полного контроля над конфигурациями второго дня. Таким образом, Партнер несет полную ответственность за правильную настройку Выделенный экземпляр сервис для среды конечного пользователя. Это включает, но не ограничивается:
Выбор безопасных / незащищенных вызовов, безопасных / незащищенных протоколов, таких как SIP/ sSIP, http / https и т. Д., И понимание любых связанных с этим рисков.
Для всех MAC -адресов, не настроенных как безопасные - SIP в Выделенный экземпляр , злоумышленник может отправить сообщение SIP Register, используя этот MAC-адрес , и иметь возможность совершать SIP -вызовы, что приводит к мошенничеству. Обязательным условием является то, что злоумышленник может зарегистрировать свое SIP-устройство/ программное обеспечение на Выделенный экземпляр без авторизации, если им известен MAC-адрес устройства, зарегистрированного в Выделенный экземпляр .
Политики вызовов Expressway-E, правила преобразования и поиска должны быть настроены для предотвращения мошенничества с телефонной связью. Дополнительную информацию о предотвращении мошенничества с платными дорогами с использованием скоростных автомагистралей см. В разделе «Безопасность скоростных автомагистралей C и Expressway-E». Сотрудничество SRND .
Конфигурация плана набора для обеспечения того, чтобы пользователи могли набирать номера только по разрешенным адресатам, например, запрещать набор номеров по стране или за границу, правильно маршрутизировать вызовы службы экстренной помощи и т. Д. План набора раздел Совместной работы SRND.
Требования к сертификату для безопасных подключений в выделенном экземпляре
Для выделенного экземпляра Cisco предоставит домен и подпишет все сертификаты для приложений UC с помощью общедоступного центр сертификации (CA).
Выделенный экземпляр - номера портов и протоколы
В следующих таблицах описаны порты и протоколы, которые поддерживаются в выделенном экземпляре. Порты, используемые для данного клиента, зависят от развертывания и решения клиента. Протоколы зависят от предпочтений клиента (SCCP или SIP), существующих локальный устройств и уровня безопасности, чтобы определить, какие порты будут использоваться в каждом развертывании.
 |
Выделенный экземпляр не поддерживает преобразование сетевых адресов (NAT) между конечными точками и Unified CM , поскольку некоторые функции потока вызовов не будут работать, например функция, доступная во время вызова. |
Выделенный экземпляр - порты клиентов
Доступные для клиентов порты между локальный клиентом и выделенным экземпляром показаны в таблице 1. Выделенные клиентские порты экземпляра . Все перечисленные ниже порты предназначены для трафика клиентов, проходящего через пиринговые ссылки.
|
Порт SNMP поддерживается только для функций CER, но не для других сторонних инструментов мониторинга. |
 |
Порты в диапазоне от 5063 до 5080 зарезервированы Cisco для других облачных интеграций, партнерам или администраторам клиентов не рекомендуется использовать эти порты в своих конфигурациях. |
Protocol |
TCP/ UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
Приложения UC |
Больше 1023 |
22 |
Администрирование |
TFTP |
UDP |
Терминальное устройство |
Unified CM |
Больше 1023 |
69 |
Поддержка устаревших конечных точек |
LDAP; |
TCP |
Приложения UC |
Внешний каталог |
Больше 1023 |
389 |
Синхронизация каталогов с клиентским LDAP |
HTTPS |
TCP |
Браузер |
Приложения UC |
Больше 1023 |
443 |
веб -доступ для самообслуживания и административных интерфейсов |
Исходящая почта (БЕЗОПАСНЫЙ) |
TCP |
Приложение UC |
CUCxn |
Больше 1023 |
587 |
Используется для составления и отправки защищенных сообщений любым назначенным получателям |
LDAP (БЕЗОПАСНЫЙ) |
TCP |
Приложения UC |
Внешний каталог |
Больше 1023 |
636 |
Синхронизация каталогов с клиентским LDAP |
H323 |
TCP |
Шлюз |
Unified CM |
Больше 1023 |
1720 |
Сигнализация вызовов |
H323 |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
1720 |
Сигнализация вызовов |
SCCP |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
2000 г. |
Сигнализация вызова |
SCCP |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
2000 г. |
Сигнализация вызова |
MGCP |
UDP |
Шлюз |
Шлюз |
Больше 1023 |
2427 |
Сигнализация вызова |
MGCP Blackhaul |
TCP |
Шлюз |
Unified CM |
Больше 1023 |
2428 |
Сигнализация вызова |
SCCP (БЕЗОПАСНЫЙ) |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
2443 |
Сигнализация вызова |
SCCP (БЕЗОПАСНЫЙ) |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
2443 |
Сигнализация вызова |
Проверка доверия |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2445 |
Предоставление службы проверки доверия конечным точкам |
CTI |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2748 |
Связь между приложениями CTI (JTAPI/ TSP) и CTIManager |
Безопасный CTI |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
2749 |
Безопасное соединение между приложениями CTI (JTAPI/ TSP) и CTIManager |
Глобальный каталог LDAP |
TCP |
Приложения UC |
Внешний каталог |
Больше 1023 |
3268 |
Синхронизация каталогов с клиентским LDAP |
Глобальный каталог LDAP |
TCP |
Приложения UC |
Внешний каталог |
Больше 1023 |
3269 |
Синхронизация каталогов с клиентским LDAP |
Служба CAPF |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
3804 |
Порт прослушивания функции прокси- центр сертификации (CAPF) для выдачи локально значимых сертификатов (LSC) на IP -телефоны |
SIP |
TCP |
Терминальное устройство |
Unified CM, CUCxn |
Больше 1023 |
5060 |
Сигнализация вызова |
SIP |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
5060 |
Сигнализация вызова |
SIP (БЕЗОПАСНЫЙ) |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
5061 |
Сигнализация вызова |
SIP (БЕЗОПАСНЫЙ) |
TCP |
Unified CM |
Unified CM, шлюз |
Больше 1023 |
5061 |
Сигнализация вызова |
SIP (OAUTH) |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
5090 |
Сигнализация вызова |
XMPP |
TCP |
Клиент Jabber |
Cisco IM&P |
Больше 1023 |
5222 |
Мгновенный обмен сообщениями и присутствие |
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6970 |
Скачивание конфигурации и образов на конечные точки |
HTTPS |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6971 |
Скачивание конфигурации и образов на конечные точки |
HTTPS |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
6972 |
Скачивание конфигурации и образов на конечные точки |
HTTP |
TCP |
Клиент Jabber |
CUCxn |
Больше 1023 |
7080 |
Уведомления голосовой почты |
HTTPS |
TCP |
Клиент Jabber |
CUCxn |
Больше 1023 |
7443 |
Уведомления о защищенной голосовой почте |
HTTPS |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
7501 |
Используется службой служба межкластерного поиска (ILS) для проверки подлинности на основе сертификатов |
HTTPS |
TCP |
Unified CM |
Unified CM |
Больше 1023 |
7502 |
Используется ILS для аутентификации на основе пароля |
IMAP |
TCP |
Клиент Jabber |
CUCxn |
Больше 1023 |
7993 |
IMAP через TLS |
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
8080 |
URI каталога для поддержки устаревших конечных точек |
HTTPS |
TCP |
Браузер, конечная точка |
Приложения UC |
Больше 1023 |
8443 |
веб -доступ к интерфейсам самообслуживания и администрирования, UDS |
HTTPS |
TCP |
Телефон |
Unified CM |
Больше 1023 |
9443 |
Поиск контактов с аутентификацией |
HTTP |
TCP |
Терминальное устройство |
Unified CM |
Больше 1023 |
9444 |
Функция управления гарнитурой |
Безопасный RTP/ SRTP |
UDP |
Unified CM |
Телефон |
С 16384 по 32767 * |
С 16384 по 32767 * |
Мультимедиа (аудио) - мелодия режима удержания, сигнализатор, программный мост конференц-связи (открытие на основе сигнализации вызова) |
Безопасный RTP/ SRTP |
UDP |
Телефон |
Unified CM |
С 16384 по 32767 * |
С 16384 по 32767 * |
Мультимедиа (аудио) - мелодия режима удержания, сигнализатор, программный мост конференц-связи (открытие на основе сигнализации вызова) |
КОБРЫ |
TCP |
Клиент |
CUCxn |
Больше 1023 |
20532 |
Пакет приложений для резервного копирования и восстановления |
ICMP |
ICMP |
Терминальное устройство |
Приложения UC |
н/д |
н/д |
Проверка связи |
ICMP |
ICMP |
Приложения UC |
Терминальное устройство |
н/д |
н/д |
Проверка связи |
* В некоторых особых случаях может использоваться больший диапазон. |
||||||
Выделенный экземпляр - порты OTT
Следующий порт может использоваться клиентами и партнерами для настройки мобильного и Remote Access (MRA):
Protocol |
TCP/ UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
БЕЗОПАСНЫЙ RTP/ RTCP |
UDP |
Скоростная автомагистраль C |
Клиент |
Больше 1023 |
36000–59999 |
Secure Media для вызовов MRA и B2B |
Выделенный экземпляр - порты UCCX
Следующий список портов может использоваться Заказчиками и Партнерами для настройки UCCX.
Protocol |
TCP / UCP |
Источник |
Адресат |
Исходный порт |
Порт назначения |
Цель |
|---|---|---|---|---|---|---|
SSH |
TCP |
Клиент |
UCCX |
Больше 1023 |
22 |
SFTP и SSH |
Informix |
TCP |
Клиент или сервер |
UCCX |
Больше 1023 |
1504 |
Порт Unified CCX |
SIP |
UDP и TCP |
Сервер SIP GW или MCRP |
UCCX |
Больше 1023 |
5065 |
Связь с удаленными узлами GW и MCRP |
XMPP |
TCP |
Клиент |
UCCX |
Больше 1023 |
5223 |
Безопасное соединение XMPP между сервером Finesse и пользовательскими сторонними приложениями |
Сердечно-сосудистые заболевания |
TCP |
Клиент |
UCCX |
Больше 1023 |
6999 |
Редактор приложений CCX |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
7443 |
Безопасное соединение BOSH между сервером Finesse и рабочими столами операторов и супервизоров для связи по протоколу HTTPS |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8080 |
Клиенты с отчетами в реальном времени подключаются к серверу socket.IO |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8081 |
Клиентский браузер пытается получить доступ к веб-интерфейс Cisco Unified Intelligence Center |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
8443 |
графический интерфейс пользователя администратора, RTMT, доступ к БД через SOAP |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8444 |
веб-интерфейс Cisco Unified Intelligence Center |
HTTPS |
TCP |
Браузер и клиенты REST |
UCCX |
Больше 1023 |
8445 |
Безопасный порт для утонченности |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8447 |
HTTPS - онлайн-справка Unified Intelligence Center |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
8553 |
Компоненты системы единого входа (SSO) обращаются к этому интерфейсу, чтобы узнать о рабочем состоянии Cisco IdS. |
HTTP |
TCP |
Клиент |
UCCX |
Больше 1023 |
9080 |
Клиенты, пытающиеся получить доступ к триггерам HTTP или документам / подсказкам / грамматикам / данные в режиме реального времени. |
HTTPS |
TCP |
Клиент |
UCCX |
Больше 1023 |
9443 |
Защищенный порт, используемый для ответа клиентам, пытающимся получить доступ к триггерам HTTPS |
TCP |
TCP |
Клиент |
UCCX |
Больше 1023 |
12014 |
Это порт, через который клиенты отчетов в реальном времени могут подключаться к серверу socket.IO |
TCP |
TCP |
Клиент |
UCCX |
Больше 1023 |
12015 |
Это порт, через который клиенты отчетов в реальном времени могут подключаться к серверу socket.IO |
CTI |
TCP |
Клиент |
UCCX |
Больше 1023 |
12028 |
Сторонний клиент CTI для CCX |
RTP(СМИ) |
TCP |
Терминальное устройство |
UCCX |
Больше 1023 |
Больше 1023 |
Медиа-порт открывается динамически по мере необходимости |
RTP(СМИ) |
TCP |
Клиент |
Терминальное устройство |
Больше 1023 |
Больше 1023 |
Медиа-порт открывается динамически по мере необходимости |
Безопасность клиента
Защита Jabber и Webex с помощью SIP OAuth
Клиенты Jabber и Webex аутентифицируются с помощью маркера OAuth вместо локально значимый сертификат (LSC), который не требует включения функция прокси центра сертификации -сервера (CAPF) (в том числе для MRA). SIP OAuth, работающий со смешанным режимом или без него, был представлен в Cisco Unified CM 12.5 (1), Jabber 12.5 и Expressway X12.5.
В Cisco Unified CM 12.5 у нас есть новый параметр в профиле безопасности телефона, который включает шифрование без LSC/ CAPF с использованием единого маркера Transport Layer Security (TLS) + OAuth в SIP REGISTER. Узлы Expressway-C используют API административной веб -службы XML ( AXL ) для информирования Cisco Unified CM о SN / SAN в своем сертификате. Cisco Unified CM использует эту информацию для проверки сертификата Exp-C при установке взаимного соединения TLS .
SIP OAuth обеспечивает шифрование мультимедиа и сигналов без сертификата конечной точки (LSC).
Cisco Jabber использует временные порты и защищенные порты 6971 и 6972 через соединение HTTPS с сервером TFTP для загрузки файлов конфигурации. Порт 6970 - это незащищенный порт для загрузки через HTTP.
Подробнее о настройке SIP OAuth: Режим SIP OAuth .
Требования к DNS
Для выделенного экземпляра Cisco предоставляет полное доменное имя службы в каждом регионе в следующем формате.<customer> .<region> .wxc-di.webex.com например, xyz.amer.wxc-di.webex.com .
Значение «клиент» предоставляется администратором как часть мастер первоначальной настройки (FTSW). Для получения дополнительной информации см. Активация службы выделенного экземпляра .
Записи DNS для этого FQDN должны быть разрешены с внутреннего сервер DNS для поддержки локальных устройств, подключающихся к выделенному экземпляру. Чтобы упростить разрешение, клиенту необходимо настроить условный сервер пересылки для этого полного доменного имени на своем сервер DNS, указывающем на службу DNS выделенного экземпляра. Служба DNS для выделенного экземпляра является региональной и может быть доступна через пиринговую связь с выделенным экземпляром, используя следующие IP -адреса, как указано в таблице ниже. IP -адрес службы DNS выделенного экземпляра .
Регион / округ Колумбия |
IP -адрес службы DNS выделенного экземпляра | Пример условной пересылки |
|---|---|---|
Северная и Южная Америка |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
Азиатско-тихоокеанский регион, Япония и Китай. |
<customer>.apjc.wxc-di.webex.com |
|
ГРЕХ |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
|
Опция ping отключена для упомянутых выше IP -адресов сервер DNS по соображениям безопасности. |
До тех пор, пока не будет выполнена условная пересылка, устройства не смогут зарегистрироваться на выделенном экземпляре из внутренней сети клиента через пиринговые ссылки. Условная пересылка не требуется для регистрации через мобильный и Remote Access (MRA), поскольку все необходимые внешние записи DNS для облегчения MRA будут предварительно предоставлены Cisco.
При использовании приложения Webex в качестве вызывающего программного клиента на выделенном экземпляре необходимо настроить профиль UC Manager в Control Hub для каждого региона голосовой службы (VSD). Для получения дополнительной информации см. Профили UC Manager в Cisco Webex Control Hub . Приложение Webex сможет автоматически решить проблему Expressway Edge клиента без какого-либо вмешательства со конечный пользователь .
|
Домен голосовой службы будет предоставлен клиенту как часть документа о доступе к партнеру после завершения активации службы. |
Ссылки
Справочные схемы решения Cisco Collaboration 12.x (SRND), тема безопасности: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
руководство по безопасности для Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html
