- Domov
- /
- Článok
Požiadavky na sieť a bezpečnosť pre riešenie Dedicated Instance predstavujú vrstvený prístup k funkciám a funkciám, ktoré poskytujú bezpečný fyzický prístup, sieť, koncové body a aplikácie Cisco UC. Opisuje požiadavky na sieť a uvádza adresy, porty a protokoly používané na pripojenie vašich koncových bodov k službám.
Požiadavky na sieť pre vyhradenú inštanciu
Vyhradená inštancia Webex Calling je súčasťou portfólia Cisco Cloud Calling, ktoré je poháňané technológiou spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance ponúka riešenia hlasu, videa, správ a mobility s funkciami a výhodami Cisco IP telefónov, mobilných zariadení a desktopových klientov, ktoré sa bezpečne pripájajú k dedikovanej inštancii.
Tento článok je určený pre správcov siete, najmä pre správcov zabezpečenia brány firewall a proxy, ktorí chcú používať vyhradenú inštanciu vo svojej organizácii.
Prehľad zabezpečenia: Zabezpečenie vo vrstvách
Vyhradená inštancia používa vrstvený prístup k zabezpečeniu. Vrstvy zahŕňajú:
-
Fyzický prístup
-
Sieť
-
Koncové body
-
Aplikácie UC
V nasledujúcich častiach sú popísané vrstvy zabezpečenia v nasadeniach vyhradených inštancií.
Fyzická bezpečnosť
Je dôležité zabezpečiť fyzickú bezpečnosť miest Equinix Meet-Me Room a zariadení Cisco Dedicated Instance Data Center. Ak je ohrozená fyzická bezpečnosť, môžu sa spustiť jednoduché útoky, ako je prerušenie služby vypnutím napájania prepínačov zákazníka. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, resetovať heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu man-in-the-middle, a preto je druhá vrstva zabezpečenia, sieťová bezpečnosť, kritická.
Samošifrovacie jednotky sa používajú v dátových centrách vyhradených inštancií, ktoré hosťujú aplikácie UC.
Ďalšie informácie o všeobecných postupoch zabezpečenia nájdete v dokumentácii na nasledujúcom mieste: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Zabezpečenie siete
Partneri musia zabezpečiť, aby boli všetky prvky siete zabezpečené v infraštruktúre vyhradenej inštancie (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť osvedčené postupy zabezpečenia, ako sú:
-
Samostatná sieť VLAN pre hlas a dáta
-
Zapnite zabezpečenie portov, ktoré obmedzuje počet povolených adries MAC na port, proti zahlteniu tabuľky CAM
-
Ochrana zdroja IP pred sfalšovanými IP adresami
-
Dynamická kontrola ARP (DAI) skúma protokol riešenia adries (ARP) a bezdôvodné ARP (GARP) z hľadiska porušení (proti ARP spoofingu)
-
802.1x obmedzuje prístup k sieti na overovanie zariadení na priradených sieťach VLAN (telefóny podporujú 802.1x)
-
Konfigurácia kvality služieb (QoS) pre vhodné označenie hlasových paketov
-
Konfigurácie portov brány firewall na blokovanie akejkoľvek inej prevádzky
Zabezpečenie koncových bodov
Koncové body Cisco podporujú predvolené funkcie zabezpečenia, ako je podpísaný firmvér, zabezpečené spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia koncových bodov.
Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:
-
Šifrovanie IP telefónnych služieb (cez HTTPS) pre služby, ako je Extension Mobility
-
Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)
-
Šifrovanie konfiguračných súborov
-
Šifrovanie médií a signalizácie
-
Ak sa tieto nastavenia nepoužívajú, vypnite ich: PC port, PC Voice VLAN Access, bezplatný ARP, Web prístup, tlačidlo Nastavenia, SSH, konzola
Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a manipulácii so signalizáciou hovorov / mediálnym streamom.
Vyhradená inštancia cez sieť:
-
Vytvára a udržiava overené komunikačné toky
-
Digitálne podpíše súbory pred prenosom súboru do telefónu
-
Šifruje mediálne streamy a signalizáciu hovorov medzi telefónmi Cisco Unified IP
Zabezpečenie predvolene poskytuje nasledujúce funkcie automatického zabezpečenia pre telefóny Cisco Unified IP:
-
Podpisovanie konfiguračných súborov telefónu
-
Podpora šifrovania konfiguračných súborov telefónu
-
HTTPS s Tomcat a inými webovými službami (MIDlets)
Pre Unified CM Release 8.0 neskôr sú tieto funkcie zabezpečenia štandardne poskytované bez spustenia klienta Certificate Trust List (CTL).
Služba overovania dôveryhodnostiPretože v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialené úložisko dôveryhodných certifikátov prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodných certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS na overenie, pretože nemôžu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. Centrálne úložisko dôveryhodných certifikátov je jednoduchšie spravovať ako mať dôveryhodné úložisko na každom telefóne Cisco Unified IP.
TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú služby EM, adresár a MIDlet, počas vytvárania protokolu HTTPS.
Počiatočný dôveryhodný zoznamSúbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nepotrebuje, aby boli explicitne povolené žiadne bezpečnostné funkcie. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Na podpísanie súboru ITL sa používa súkromný kľúč servera TFTP (Unified CM Trivial File Transfer Protocol).
Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne do každého podporovaného IP telefónu Cisco. Partner môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show itl.
IP telefóny Cisco potrebujú súbor ITL na vykonávanie nasledujúcich úloh:
-
Bezpečná komunikácia s CAPF, čo je predpoklad na podporu šifrovania konfiguračných súborov
-
Overenie podpisu konfiguračného súboru
-
Overte aplikačné servery, ako sú EM služby, adresár a MIDlet počas vytvárania HTTPS pomocou TVS
Overovanie zariadení, súborov a signalizácie sa spolieha na vytvorenie súboru CTL (Certificate Trust List), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta Cisco Certificate Trust List.
Súbor CTL obsahuje položky pre nasledujúce servery alebo tokeny zabezpečenia:
-
Token zabezpečenia správcu systému (SAST)
-
Služby Cisco CallManager a Cisco TFTP, ktoré sú spustené na rovnakom serveri
-
Funkcia proxy certifikačnej autority (CAPF)
-
TFTP server(y)
-
Firewall ASA
Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a IP adresu pre každý server.
Zabezpečenie telefónu s CTL poskytuje nasledujúce funkcie:
-
Autentifikácia súborov stiahnutých cez TFTP (konfigurácia, miestne nastavenie, zoznam zvonení atď.) pomocou podpisového kľúča
-
Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča
-
Šifrovaná signalizácia hovorov pre IP telefóny
-
Šifrovaný zvuk hovoru (médiá) pre IP telefóny
Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi Cisco Unified CM a koncovými bodmi je založená na protokole Secure Skinny Client Control Protocol (SCCP) alebo protokole SIP (Session Initiation Protocol) a môže byť šifrovaná pomocou protokolu TLS (Transport Layer Security). Médiá z/do koncových bodov sú založené na protokole RTP (Real-time Transport Protocol) a možno ich šifrovať aj pomocou Secure RTP (SRTP).
Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizácie a mediálnej prevádzky z a do koncových bodov Cisco.
Zabezpečené aplikácie UC
Povolenie zmiešaného režimu vo vyhradenej inštanciiZmiešaný režim je predvolene povolený vo vyhradenej inštancii.
Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje vykonávať šifrovanie signalizácie a mediálnej prevádzky z a do koncových bodov Cisco.
V Cisco Unified CM release 12.5(1) bola pre klientov Jabber a Webex pridaná nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu / CTL. Preto vo verzii Unified CM 12.5(1) možno SIP OAuth a SRTP použiť na povolenie šifrovania signalizácie a médií pre klientov Jabber alebo Webex. Povolenie zmiešaného režimu sa v súčasnosti naďalej vyžaduje pre IP telefóny Cisco a ďalšie koncové body Cisco. V budúcom vydaní sa plánuje pridať podporu pre SIP OAuth v koncových bodoch 7800/8800.
Zabezpečenie hlasových správCisco Unity Connection sa pripája k Unified CM cez port TLS. Keď režim zabezpečenia zariadenia nie je zabezpečený, Cisco Unity Connection sa pripojí k Unified CM cez port SCCP.
Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, na ktorých beží SCCP alebo zariadenia Cisco Unity Connection, na ktorých beží SCCP, môže partner zvoliť režim zabezpečenia zabezpečeného zariadenia pre port. Ak vyberiete overený port odkazovača, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak vyberiete port šifrovanej hlasovej schránky, systém najprv overí zariadenia a potom medzi nimi odošle šifrované hlasové streamy.
Ďalšie informácie o portoch Security Voice Messaging nájdete v téme: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Zabezpečenie pre SRST, kmene, brány, CUBE/SBC
Brána s podporou Cisco Unified Survivable Remote Site Telephony (SRST) poskytuje obmedzené úlohy spracovania hovorov, ak Cisco Unified CM na vyhradenej inštancii nemôže dokončiť hovor.
Zabezpečené brány s podporou SRST obsahujú certifikát s vlastným podpisom. Keď partner vykoná konfiguračné úlohy SRST v službe Unified CM Administration, Unified CM použije pripojenie TLS na overenie v službe poskytovateľa certifikátov v bráne s podporou SRST. Unified CM potom načíta certifikát z brány s podporou SRST a pridá certifikát do databázy Unified CM.
Keď partner resetuje závislé zariadenia v Unified CM Administration, TFTP server pridá certifikát brány s podporou SRST do telefónneho cnf.xml file a odošle súbor do telefónu. Zabezpečený telefón potom používa pripojenie TLS na interakciu s bránou s podporou SRST.
Odporúča sa mať zabezpečené trunky pre hovory pochádzajúce z Cisco Unified CM do brány pre odchádzajúce hovory PSTN alebo prechádzajúce cez Cisco Unified Border Element (CUBE).
SIP trunky môžu podporovať zabezpečené hovory pre signalizáciu aj médiá; TLS poskytuje šifrovanie signalizácie a SRTP poskytuje šifrovanie médií.
Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE
Na bezpečnú komunikáciu medzi Cisco Unified CM a CUBE musia partneri/zákazníci používať buď certifikát s vlastným podpisom, alebo certifikáty podpísané certifikačnou autoritou.
V prípade certifikátov s vlastným podpisom:
-
CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom
-
CUBE exportuje certifikát do Cisco Unified CM
-
Cisco Unified CM exportuje certifikát do CUBE
V prípade certifikátov podpísaných certifikačnou autoritou:
-
Klient vygeneruje pár kľúčov a odošle certifikačnej autorite (CA) žiadosť o podpísanie certifikátu (CSR)
-
Certifikačná autorita ho podpíše svojím súkromným kľúčom a vytvorí certifikát totožnosti
-
Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov certifikačnej autority a certifikát identity
Zabezpečenie vzdialených koncových bodov
Pri koncových bodoch mobilného a vzdialeného prístupu (MRA) je signalizácia a médiá vždy šifrované medzi koncovými bodmi MRA a uzlami rýchlostných ciest. Ak sa pre koncové body MRA používa protokol Interactive Connectivity Establishment (ICE), vyžaduje sa signalizácia a šifrovanie médií koncových bodov MRA. Šifrovanie signalizácie a médií medzi Expressway-C a internými servermi Unified CM, internými koncovými bodmi alebo inými internými zariadeniami však vyžaduje zmiešaný režim alebo SIP OAuth.
Cisco Expressway poskytuje bezpečný prechod cez firewall a podporu na linke pre registrácie Unified CM. Unified CM poskytuje riadenie hovorov pre mobilné aj lokálne koncové body. Signalizácia prechádza riešením rýchlostnej cesty medzi vzdialeným koncovým bodom a Unified CM. Médiá prechádzajú riešením rýchlostnej cesty a prenášajú sa priamo medzi koncovými bodmi. Všetky médiá sú šifrované medzi Expressway-C a mobilným koncovým bodom.
Akékoľvek riešenie MRA vyžaduje Expressway a Unified CM so softvérovými klientmi kompatibilnými s MRA a/alebo pevnými koncovými bodmi. Riešenie môže voliteľne zahŕňať službu okamžitých správ a prítomnosti a pripojenie Unity.
Zhrnutie protokolu
V nasledujúcej tabuľke sú uvedené protokoly a súvisiace služby používané v riešení Unified CM.
Protokol |
Zabezpečenie |
Služba |
---|---|---|
POPÍJAŤ |
TLS |
Založenie zasadnutia: Zaregistrujte sa, pozvite atď. |
HTTPS |
TLS |
Prihlásenie, poskytovanie/konfigurácia, adresár, vizuálna hlasová schránka |
Media |
SRTP |
Media: Zdieľanie zvuku, videa, obsahu |
XMPP |
TLS |
Okamžité správy, Prítomnosť, Federácia |
Ďalšie informácie o konfigurácii MRA nájdete v téme: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfigurácie
Vyhradená inštancia poskytuje partnerovi flexibilitu pri prispôsobovaní služieb pre koncových používateľov prostredníctvom úplnej kontroly nad konfiguráciami druhého dňa. V dôsledku toho je Partner výlučne zodpovedný za správnu konfiguráciu služby Vyhradenej inštancie pre prostredie koncového používateľa. To okrem iného zahŕňa:
-
Výber bezpečných/nezabezpečených hovorov, bezpečných/nezabezpečených protokolov, ako sú SIP/sSIP, http/https atď., a pochopenie všetkých súvisiacich rizík.
-
Pre všetky MAC adresy, ktoré nie sú nakonfigurované ako zabezpečené SIP vo vyhradenej inštancii, môže útočník odoslať správu SIP Register pomocou tejto MAC adresy a byť schopný uskutočňovať SIP hovory, čo vedie k mýtnym podvodom. Predpokladom je, že útočník môže zaregistrovať svoje SIP zariadenie/softvér do vyhradenej inštancie bez autorizácie, ak pozná MAC adresu zariadenia zaregistrovaného vo vyhradenej inštancii.
-
Pravidlá hovorov na rýchlostnej ceste-E, pravidlá transformácie a vyhľadávania by mali byť nakonfigurované tak, aby sa zabránilo podvodom s mýtom. Viac informácií o predchádzaní mýtnym podvodom pri používaní rýchlostných ciest nájdete v časti Zabezpečenie pre rýchlostné cesty C a rýchlostné cesty-E v časti Collaboration SRND.
-
Konfigurácia plánu vytáčania, aby používatelia mohli vytáčať iba miesta určenia, ktoré sú povolené, napr. zákaz národného/medzinárodného vytáčania, správne smerovanie tiesňových volaní atď. Ďalšie informácie o uplatňovaní obmedzení pomocou plánu vytáčania nájdete v časti Plán vytáčania v časti Collaboration SRND.
Požiadavky na certifikát pre zabezpečené pripojenia vo vyhradenej inštancii
V prípade vyhradenej inštancie spoločnosť Cisco poskytne doménu a podpíše všetky certifikáty pre aplikácie UC pomocou verejnej certifikačnej autority (CA).
Vyhradená inštancia – čísla portov a protokoly
V nasledujúcich tabuľkách sú popísané porty a protokoly, ktoré sú podporované vo vyhradenej inštancii. Porty, ktoré sa používajú pre daného zákazníka, závisia od nasadenia a riešenia zákazníka. Protokoly závisia od preferencií zákazníka (SCCP vs SIP), existujúcich lokálnych zariadení a úrovne zabezpečenia, ktorá určuje, ktoré porty sa majú použiť v každom nasadení.
Vyhradená inštancia nepovoľuje preklad sieťových adries (NAT) medzi koncovými bodmi a Unified CM, pretože niektoré funkcie toku hovorov nebudú fungovať, napríklad funkcia uprostred hovoru. |
Vyhradená inštancia – zákaznícke porty
Porty dostupné pre zákazníkov – medzi lokálnou inštanciou zákazníka a vyhradenou inštanciou sú uvedené v tabuľke 1 Porty zákazníka vyhradenej inštancie. Všetky porty uvedené nižšie sú určené pre zákaznícku prevádzku prechádzajúcu cez partnerské prepojenia.
Port SNMP je predvolene otvorený iba pre službu Cisco Emergency Responder na podporu jeho funkčnosti. Keďže nepodporujeme partnerov ani zákazníkov monitorujúcich aplikácie UC nasadené v cloude vyhradenej inštancie, nepovoľujeme otvorenie portu SNMP pre žiadne iné aplikácie UC. |
Porty v rozsahu 5063 až 5080 sú spoločnosťou Cisco vyhradené pre iné cloudové integrácie, správcom partnerov alebo zákazníkov sa odporúča nepoužívať tieto porty vo svojich konfiguráciách. |
Protokol |
TCP/UDP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel | ||
---|---|---|---|---|---|---|---|---|
SSH |
Protokol tcp |
Klient |
Aplikácie UC
|
Väčšie ako 1023 |
22 |
Správa |
||
TFTP |
UDP |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
69 |
Podpora starších koncových bodov |
||
LDAP |
Protokol tcp |
Aplikácie UC |
Externý adresár |
Väčšie ako 1023 |
389 |
Synchronizácia adresárov so zákazníckym LDAP |
||
HTTPS |
Protokol tcp |
Prehliadač |
Aplikácie UC |
Väčšie ako 1023 |
443 |
Webový prístup pre samoobsluhu a administratívne rozhrania |
||
Odchádzajúca pošta (SECURE) |
Protokol tcp |
Aplikácia UC |
CUCxn |
Väčšie ako 1023 |
587 |
Používa sa na vytváranie a odosielanie zabezpečených správ určeným príjemcom |
||
LDAP (ZABEZPEČENÉ) |
Protokol tcp |
Aplikácie UC |
Externý adresár |
Väčšie ako 1023 |
636 |
Synchronizácia adresárov so zákazníckym LDAP |
||
H323 |
Protokol tcp |
Brána |
Unified CM |
Väčšie ako 1023 |
1720 |
Signalizácia hovoru |
||
H323 |
Protokol tcp |
Unified CM |
Unified CM |
Väčšie ako 1023 |
1720 |
Signalizácia hovoru |
||
SCCP |
Protokol tcp |
Koncový bod |
Zjednotený CM, CUCxn |
Väčšie ako 1023 |
2000 |
Signalizácia hovoru |
||
SCCP |
Protokol tcp |
Unified CM |
Zjednotený CM, brána |
Väčšie ako 1023 |
2000 |
Signalizácia hovoru |
||
MGCP |
UDP |
Brána |
Brána |
Väčšie ako 1023 |
2427 |
Signalizácia hovoru |
||
MGCP Backhaul |
Protokol tcp |
Brána |
Unified CM |
Väčšie ako 1023 |
2428 |
Signalizácia hovoru |
||
SCCP (ZABEZPEČENÉ) |
Protokol tcp |
Koncový bod |
Zjednotený CM, CUCxn |
Väčšie ako 1023 |
2443 |
Signalizácia hovoru |
||
SCCP (ZABEZPEČENÉ) |
Protokol tcp |
Unified CM |
Zjednotený CM, brána |
Väčšie ako 1023 |
2443 |
Signalizácia hovoru |
||
Overenie dôvery |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
2445 |
Poskytovanie služby overovania dôveryhodnosti koncovým bodom |
||
CTI |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
2748 |
Prepojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager |
||
Zabezpečené CTI |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
2749 |
Bezpečné spojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager |
||
Globálny katalóg LDAP |
Protokol tcp |
Aplikácie UC |
Externý adresár |
Väčšie ako 1023 |
3268 |
Synchronizácia adresárov so zákazníckym LDAP |
||
Globálny katalóg LDAP |
Protokol tcp |
Aplikácie UC |
Externý adresár |
Väčšie ako 1023 |
3269 |
Synchronizácia adresárov so zákazníckym LDAP |
||
Servis CAPF |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
3804 |
Počúvací port CAPF (Certificate Authority Proxy Function) na vydávanie lokálne významných certifikátov (LSC) pre IP telefóny |
||
POPÍJAŤ |
Protokol tcp |
Koncový bod |
Zjednotený CM, CUCxn |
Väčšie ako 1023 |
5060 |
Signalizácia hovoru |
||
POPÍJAŤ |
Protokol tcp |
Unified CM |
Zjednotený CM, brána |
Väčšie ako 1023 |
5060 |
Signalizácia hovoru |
||
SIP (ZABEZPEČENÉ) |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
5061 |
Signalizácia hovoru |
||
SIP (ZABEZPEČENÉ) |
Protokol tcp |
Unified CM |
Zjednotený CM, brána |
Väčšie ako 1023 |
5061 |
Signalizácia hovoru |
||
SIP (OAUTH) |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
5090 |
Signalizácia hovoru |
||
XMPP |
Protokol tcp |
Klient Jabber |
Cisco IM&P |
Väčšie ako 1023 |
5222 |
Okamžité správy a prítomnosť |
||
HTTP |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
6970 |
Sťahovanie konfigurácie a obrazov do koncových bodov |
||
HTTPS |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
6971 |
Sťahovanie konfigurácie a obrazov do koncových bodov |
||
HTTPS |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
6972 |
Sťahovanie konfigurácie a obrazov do koncových bodov |
||
HTTP |
Protokol tcp |
Klient Jabber |
CUCxn |
Väčšie ako 1023 |
7080 |
Oznámenia hlasovej schránky |
||
HTTPS |
Protokol tcp |
Klient Jabber |
CUCxn |
Väčšie ako 1023 |
7443 |
Zabezpečené upozornenia hlasovej schránky |
||
HTTPS |
Protokol tcp |
Unified CM |
Unified CM |
Väčšie ako 1023 |
7501 |
Používa Intercluster Lookup Service (ILS) na overovanie na základe certifikátov |
||
HTTPS |
Protokol tcp |
Unified CM |
Unified CM |
Väčšie ako 1023 |
7502 |
Používa ILS na overovanie na základe hesla |
||
IMAP |
Protokol tcp |
Klient Jabber |
CUCxn |
Väčšie ako 1023 |
7993 |
IMAP cez TLS |
||
HTTP |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
8080 |
Identifikátor URI adresára pre podporu starších koncových bodov |
||
HTTPS |
Protokol tcp |
Prehliadač, koncový bod |
Aplikácie UC |
Väčšie ako 1023 |
8443 |
Webový prístup pre samoobsluhu a administračné rozhrania, UDS |
||
HTTPS |
Protokol tcp |
Telefón |
Unified CM |
Väčšie ako 1023 |
9443 |
Vyhľadávanie overených kontaktov |
||
Protokoly HTTP |
Protokol tcp |
Koncový bod |
Unified CM |
Väčšie ako 1023 |
9444 |
Funkcia správy náhlavnej súpravy |
||
Zabezpečený RTP/SRTP |
UDP |
Unified CM |
Telefón |
16384 až 32767 * |
16384 až 32767 * |
Médiá (audio) - Hudba podržaná, Hlásiteľ, Softvérový konferenčný most (otvorené na základe signalizácie hovoru) |
||
Zabezpečený RTP/SRTP |
UDP |
Telefón |
Unified CM |
16384 až 32767 * |
16384 až 32767 * |
Médiá (audio) - Hudba podržaná, Hlásiteľ, Softvérový konferenčný most (otvorené na základe signalizácie hovoru) |
||
KOBRA |
Protokol tcp |
Klient |
CUCxn |
Väčšie ako 1023 |
20532 |
Zálohovanie a obnovenie balíka aplikácií |
||
ICMP |
ICMP |
Koncový bod |
Aplikácie UC |
Nedostupný |
Nedostupný |
Ping |
||
ICMP |
ICMP |
Aplikácie UC |
Koncový bod |
Nedostupný |
Nedostupný |
Ping |
||
DNS | UDP a TCP |
DNS preposielač |
Vyhradené servery DNS inštancie |
Väčšie ako 1023 |
53 |
Preposielanie DNS v priestoroch zákazníka na servery DNS vyhradených inštancií. Ďalšie informácie nájdete v téme Požiadavky DNS . |
||
* Niektoré špeciálne prípady môžu používať väčší rozsah. |
Vyhradená inštancia – OTT porty
Zákazníci a partneri môžu na nastavenie mobilného a vzdialeného prístupu (MRA) použiť nasledujúci port:
Protokol |
TCP/UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
ZABEZPEČENÝ RTP/RTCP |
UDP |
Rýchlostná cesta C |
Klient |
Väčšie ako 1023 |
36000-59999 |
Zabezpečené médiá pre hovory MRA a B2B |
Inter-op SIP kmeň medzi Multitenantom a vyhradenou inštanciou (iba pre kmeň založený na registrácii)
Nasledujúci zoznam portov musí byť povolený na bráne firewall zákazníka pre pripojenie kmeňa SIP založeného na registrácii medzi viacmesačnou a vyhradenou inštanciou.
Protokol |
TCP/UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Klient |
Väčšie ako 1023 |
8000-48198 |
Médiá z Webex Calling Multitenant |
Vyhradená inštancia – porty UCCX
Nasledujúci zoznam portov môžu zákazníci a partneri použiť na konfiguráciu UCCX.
Protokol |
TCP / UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
SSH |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
22 |
SFTP a SSH |
Informix |
Protokol tcp |
Klient alebo server |
UCCX |
Väčšie ako 1023 |
1504 |
Port databázy Contact Center Express |
POPÍJAŤ |
UDP a TCP |
SIP GW alebo MCRP server |
UCCX |
Väčšie ako 1023 |
5065 |
Komunikácia so vzdialenými uzlami GW a MCRP |
XMPP |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
5223 |
Zabezpečené pripojenie XMPP medzi serverom Finesse a vlastnými aplikáciami tretích strán |
CVD |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
6999 |
Editor do aplikácií CCX |
HTTPS |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
7443 |
Zabezpečené spojenie BOSH medzi serverom Finesse a pracovnými plochami agenta a supervízora pre komunikáciu cez HTTPS |
HTTP |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8080 |
Klienti na vykazovanie živých údajov sa pripájajú k zásuvke. IO server |
HTTP |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8081 |
Klientsky prehliadač sa pokúša získať prístup k webovému rozhraniu Cisco Unified Intelligence Center |
HTTP |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8443 |
Správca GUI, RTMT, DB prístup cez SOAP |
HTTPS |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8444 |
Webové rozhranie Cisco Unified Intelligence Center |
HTTPS |
Protokol tcp |
Klienti prehliadača a REST |
UCCX |
Väčšie ako 1023 |
8445 |
Bezpečný port pre Finesse |
HTTPS |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8447 |
HTTPS – online pomocník pre Unified Intelligence Center |
HTTPS |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
8553 |
Komponenty jednotného prihlásenia (SSO) pristupujú k tomuto rozhraniu, aby poznali prevádzkový stav Cisco IdS. |
HTTP |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
9080 |
Klienti, ktorí sa pokúšajú získať prístup k spúšťačom HTTP alebo dokumentom / výzvam / gramatikám / živým údajom. |
HTTPS |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
9443 |
Zabezpečený port používaný na odpovedanie klientom, ktorí sa pokúšajú získať prístup k spúšťačom HTTPS |
Protokol tcp |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
12014 |
Toto je port, kde sa môžu klienti hlásenia živých údajov pripojiť k zásuvke. IO server |
Protokol tcp |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
12015 |
Toto je port, kde sa môžu klienti hlásenia živých údajov pripojiť k zásuvke. IO server |
CTI |
Protokol tcp |
Klient |
UCCX |
Väčšie ako 1023 |
12028 |
Klient CTI tretej strany do CCX |
RTP (médiá) |
Protokol tcp |
Koncový bod |
UCCX |
Väčšie ako 1023 |
Väčšie ako 1023 |
Mediálny port sa otvára dynamicky podľa potreby |
RTP (médiá) |
Protokol tcp |
Klient |
Koncový bod |
Väčšie ako 1023 |
Väčšie ako 1023 |
Mediálny port sa otvára dynamicky podľa potreby |
Bezpečnosť klientov
Zabezpečenie Jabberu a Webexu pomocou SIP OAuth
Klienti Jabber a Webex sa overujú prostredníctvom tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje povolenie funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol predstavený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.
V Cisco Unified CM 12.5 máme novú možnosť v profile zabezpečenia telefónu, ktorá umožňuje šifrovanie bez LSC/CAPF pomocou jedného tokenu Transport Layer Security (TLS) + OAuth v SIP REGISTER. Uzly Expressway-C používajú rozhranie API Administrative XML Web Service (AXL) na informovanie Cisco Unified CM o SN/SAN vo svojom certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri vytváraní vzájomného pripojenia TLS.
SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).
Cisco Jabber používa na stiahnutie konfiguračných súborov dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom pripojenia HTTPS k serveru TFTP. Port 6970 je nezabezpečený port na stiahnutie cez HTTP.
Viac podrobností o konfigurácii SIP OAuth: RežimSIP OAuth.
Požiadavky na DNS
Pre vyhradenú inštanciu spoločnosť Cisco poskytuje FQDN pre službu v každom regióne v nasledujúcom formáte <customer><region>: wxc-di.webex.com napríklad xyz.amer.wxc-di.webex.com. </region></customer>
Hodnotu "zákazník" poskytuje správca ako súčasť Sprievodcu prvým nastavením (FTSW). Ďalšie informácie nájdete v téme Aktiváciaslužby vyhradenej inštancie.
DNS záznamy pre tento FQDN musia byť rozpoznateľné z interného servera DNS zákazníka, aby sa podporovali lokálne zariadenia pripájajúce sa k vyhradenej inštancii. Na uľahčenie riešenia musí zákazník nakonfigurovať podmienený nástroj na preposielanie pre tento FQDN na svojom serveri DNS, ktorý odkazuje na službu DNS vyhradenej inštancie. Služba DNS vyhradenej inštancie je regionálna a možno ju získať prostredníctvom partnerského vzťahu s vyhradenou inštanciou pomocou nasledujúcich adries IP, ako je uvedené v nasledujúcej tabuľke IP adresaslužby DNS vyhradenej inštancie.
Región/DC | IP adresa služby DNS vyhradenej inštancie |
Príklad podmieneného presmerovania |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com</customer> | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com</customer> |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EÚ |
<customer>.eu.wxc-di.webex.com</customer> |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com</customer> |
|
HRIECH |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com</customer> | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Možnosť ping je pre vyššie uvedené IP adresy DNS servera z bezpečnostných dôvodov zakázaná. |
Kým nebude zavedené podmienené presmerovanie, zariadenia sa nebudú môcť zaregistrovať do vyhradenej inštancie z internej siete zákazníka prostredníctvom partnerských prepojení. Podmienené presmerovanie sa nevyžaduje na registráciu prostredníctvom mobilného a vzdialeného prístupu (MRA), pretože všetky požadované externé záznamy DNS na uľahčenie MRA budú vopred poskytnuté spoločnosťou Cisco.
Ak používate aplikáciu Webex ako softvérového klienta volania vo vyhradenej inštancii, je potrebné nakonfigurovať profil správcu UC v centre ovládania pre doménu hlasovej služby (VSD) každého regiónu. Ďalšie informácie nájdete v časti Profily správcu UC v riadiacom centreCisco Webex. Aplikácia Webex bude schopná automaticky vyriešiť hranu rýchlostnej cesty zákazníka bez akéhokoľvek zásahu koncového používateľa.
Doména hlasovej služby bude zákazníkovi poskytnutá ako súčasť partnerského prístupového dokumentu po dokončení aktivácie služby. |
Použitie lokálneho smerovača na rozlíšenie DNS telefónu
V prípade telefónov, ktoré nemajú prístup k podnikovým serverom DNS, je možné použiť lokálny smerovač Cisco na presmerovanie požiadaviek DNS do cloudového DNS dedikovanej inštancie. Tým sa odstráni potreba nasadenia lokálneho DNS servera a poskytne sa plná podpora DNS vrátane ukladania do vyrovnávacej pamäte.
Príklad konfigurácie :
!
IP DNS server
IP menný server <DI dns="" server="" ip="" dc1=""> <DI DNS Server IP DC2></DI>
!
Využitie DNS v tomto modeli nasadenia je špecifické pre telefóny a možno ho použiť iba na riešenie FQDN s doménou z vyhradenej inštancie zákazníka. |
Referencie
-
Cisco Collaboration 12.x Referenčné návrhy sietí (SRND), téma zabezpečenia: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Príručka zabezpečenia pre Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html