- Domov
- /
- Článok
Bezpečnostné požiadavky pre Webex Calling
V tomto článkuTento článok je určený pre správcov siete, najmä pre správcov brány firewall a zabezpečenia servera proxy, ktorí chcú v rámci svojej organizácie používať volanie cez Webex .
Informácie o referenčných informáciách o portoch pre firewall a požiadavky na prístup nájdete v časti Referenčné informácie o portoch pre volanie Cisco Webex.
Požiadavky na koncové body
Webex Calling Edge
Ak chcete vykonať registráciu alebo hovor SIP, vykonajte tieto kroky:
-
Zistite adresu hostiteľa koncového bodu SIP pre aktívne uzly Edge.
-
Splňte všetky predpoklady týkajúce sa konfigurácie používateľa a zariadenia.
-
Uistite sa, že koncový bod má pripojenie k verejnej sieti, aby ste mohli spustiť zisťovanie služby.
-
Dokončite predpoklady zavádzania koncového bodu pomocou konfigurácie poskytovania špecifickej pre oblasť alebo dátové centrum. Táto konfigurácia pomáha získať príslušnú príponu názvu domény na zisťovanie služby.
IPv4 verzus IPv6
Zariadenia môžu pracovať v režime s jednou verziou alebo s dvomi zásobníkmi. Je to konfigurácia, ktorá určuje zmeny preferovaného protokolu a tieto zmeny nie sú súčasťou zisťovania služby.
-
Režim jedného zásobníka—povolí iba jeden protokol IP (napríklad IPv4) a ignoruje adresy ostatných protokolov.
-
Dual-stack mode—vyberie preferovanú verziu IP prostredníctvom konfigurácie.
Klient považuje prioritu všetkých preferovaných adries za nižšiu (teda preferovanú) ako všetky adresy IP. Ak uprednostňujete IPv4, pred pokusom o zadanie adresy IPv6 sa vyskúšajú všetky adresy IPv4. Ak všetky adresy zlyhajú, cyklus začne znova s preferovanou adresou protokolu s najnižšou prioritou.
Mobilný klient registrujúci sa po prijatí oznámenia push sa môže rozhodnúť optimalizovať režim na základe predchádzajúcich registrácií.
Rozlíšenie adresy hostiteľa z adresy DNS SRV
V konfiguračnom súbore koncového bodu získanom z poskytovania určuje indikátor domény názov domény na zistenie služby prístupového okraja. Príklad názvu domény je:
wxc.edge.bcld.webex.comZ tohto príkladu môže koncový bod, ktorý vykonáva vyhľadávanie DNS SRV pre túto doménu, poskytnúť odpoveď podobnú nasledujúcej:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. V tomto prípade záznam SRV ukazuje na 3 A záznamy.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com V príklade sú všetci hostitelia inzerovaní, aby kontaktovali port 5061 s rôznou váhou a prioritou.
Zvážte tieto požiadavky pre koncové body.
-
Koncový bod musí použiť
_sips._tcp(kombinácia služby a protokolu) ako predponu na vykonanie vyhľadávania DNS SRV na získanie adresy hostiteľa na začatie komunikácie založenej na TLS. -
Koncový bod musí vykonať vyhľadávanie DNS SRV pre podmienky vysvetlené v časti Rozlíšenie adresy hostiteľa z časti Adresa DNS SRV.
-
Koncový bod musí rešpektovať hostiteľa, port, váhu a prioritu, ako je inzerované pre každú adresu hostiteľa. Tiež musí vytvoriť afinitu hostiteľa k portu pri vytváraní pripojenia soketu počas registrácie SIP.
-
Špecifické pre použitie záznamu DNS SRV sú kritériá výberu hostiteľov na základe priority a váhy vysvetlené v RFC 2782.
Požiadavky na SIP a médiá
|
Požiadavka |
Opis |
|---|---|
|
Na šifrovanie verejného kľúča sa vyžaduje dôveryhodný certifikát |
V článku sa dozviete o podpisovej autorite certifikátov Webex a koreňovej CA vyžadovanej na zariadeniach |
|
Verzia TLS podporovaná pre bezpečný SIP |
TLS 1.2 |
|
Šifry TLS sú podporované pre bezpečný SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
Kľúče SRTP sú podporované pre zabezpečené médiá |
AES_CM_128_HMAC_SHA1_80 |
Požiadavky na bezpečný SIP s mTLS (vzájomné TLS)
Požiadavky sú tu podrobne vysvetlené.
Pre úspešnú autorizáciu a autentifikáciu hovorov z hlavnej linky je potrebný Podpísaný certifikát. Certifikát musí spĺňať nasledujúce požiadavky:
-
Certifikát musí byť podpísaný certifikačnou autoritou uvedenou v časti Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex?
-
Odovzdajte zväzok dôveryhodnosti uvedený v časti Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex? na CUBE.
-
Certifikát by mal byť platný vždy:
-
Podpísané certifikáty musia mať vždy platnú platnosť.
-
Koreňové alebo prechodné certifikáty musia mať platnú platnosť a nesmú byť zrušené.
-
Pre použitie klienta a servera musia byť certifikáty podpísané.
-
Certifikáty musia obsahovať plne kvalifikovaný názov domény (FQDN) ako bežný názov alebo alternatívne meno subjektu v certifikáte s FQDN vybratým v Control Hub. Napríklad:
-
Kmeň nakonfigurovaný z Control Hub vašej organizácie s london.lgw.cisco.com:5061 ako FQDN musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN.
-
Kmeň nakonfigurovaný z riadiaceho centra vašej organizácie s london.lgw.cisco.com bol SRV, ktorý musí obsahovať london.lgw.cisco.com v certifikáte CN alebo SAN. Záznamy, ktoré adresa SRV rieši (CNAME/A Record/IP adresa), sú v SAN voliteľné.
-
-
Certifikáty môžete zdieľať s viac ako jednou lokálnou bránou, ale uistite sa, že sú splnené požiadavky FQDN.
-
Mimo rozsahu
Tento článok neobsahuje nasledujúce informácie týkajúce sa zabezpečenia siete:
-
Požiadavky F5 na CA a šifry
-
API založené na HTTP na stiahnutie pravidiel brány firewall pre Webex.
-
API pre balík dôveryhodnosti
-
Požiadavka brány firewall a deaktivácia ALG
