- Domov
- /
- Článok
Požiadavky na sieť a bezpečnosť vyhradenej inštancie
Požiadavky na sieť a bezpečnosť pre riešenie Dedicated Instance predstavujú vrstvený prístup k funkciám a funkciám, ktoré poskytujú bezpečný fyzický prístup, sieť, koncové body a aplikácie Cisco UC. Opisuje požiadavky na sieť a uvádza adresy, porty a protokoly používané na pripojenie vašich koncových bodov k službám.
Sieťové požiadavky pre vyhradenú inštanciu
Webex Calling Dedicated Instance je súčasťou portfólia Cisco Cloud Calling, ktoré využíva technológiu spolupráce Cisco Unified Communications Manager (Cisco Unified CM). Vyhradená inštancia ponúka riešenia hlasu, videa, správ a mobility s funkciami a výhodami IP telefónov, mobilných zariadení a desktopových klientov Cisco, ktoré sa bezpečne pripájajú k vyhradenej inštancii.
Tento článok je určený pre správcov siete, najmä správcov brány firewall a zabezpečenia proxy, ktorí chcú v rámci svojej organizácie používať vyhradenú inštanciu.
Prehľad zabezpečenia: Bezpečnosť vo vrstvách
Vyhradená inštancia používa vrstvený prístup na zabezpečenie. Vrstvy zahŕňajú:
-
Fyzický prístup
-
Sieť
-
Koncové body
-
aplikácie UC
Nasledujúce časti popisujú vrstvy zabezpečenia v nasadení vyhradenej inštancie.
Fyzická bezpečnosť
Je dôležité zabezpečiť fyzické zabezpečenie miest Equinix Meet-Me Room a zariadení Cisco Dedicated Instance Data Center. Keď je ohrozená fyzická bezpečnosť, môžu byť iniciované jednoduché útoky, ako je prerušenie služby vypnutím napájania prepínačov zákazníka. S fyzickým prístupom by útočníci mohli získať prístup k serverovým zariadeniam, resetovať heslá a získať prístup k prepínačom. Fyzický prístup tiež uľahčuje sofistikovanejšie útoky, ako sú útoky typu man-in-the-middle, a preto je dôležitá druhá vrstva zabezpečenia, bezpečnosť siete.
Samošifrovacie jednotky sa používajú v dátových centrách vyhradených inštancií, ktoré sú hostiteľmi aplikácií UC.
Ďalšie informácie o všeobecných bezpečnostných postupoch nájdete v dokumentácii na nasledujúcej adrese: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Zabezpečenie siete
Partneri musia zabezpečiť, aby boli všetky sieťové prvky zabezpečené v infraštruktúre vyhradenej inštancie (ktorá sa pripája cez Equinix). Je zodpovednosťou partnera zabezpečiť najlepšie bezpečnostné postupy, ako napríklad:
-
Samostatná VLAN pre hlas a dáta
-
Povoľte zabezpečenie portov, ktoré obmedzuje počet povolených adries MAC na port, aby nedošlo k zahlteniu tabuľky CAM
-
Ochrana zdroja IP pred falošnými adresami IP
-
Dynamická kontrola ARP (DAI) skúma porušenie protokolu na riešenie adresy (ARP) a bezodplatného ARP (GARP) (proti spoofingu ARP)
-
802.1x obmedzuje prístup k sieti na overenie zariadení v priradených VLAN (telefóny podporujú 802.1x)
-
Konfigurácia kvality služby (QoS) pre vhodné označovanie hlasových paketov
-
Konfigurácie portov brány firewall na blokovanie akejkoľvek inej prevádzky
Zabezpečenie koncových bodov
Koncové body Cisco podporujú predvolené funkcie zabezpečenia, ako je podpísaný firmvér, bezpečné spustenie (vybrané modely), certifikát nainštalovaný výrobcom (MIC) a podpísané konfiguračné súbory, ktoré poskytujú určitú úroveň zabezpečenia koncovým bodom.
Okrem toho môže partner alebo zákazník povoliť dodatočné zabezpečenie, ako napríklad:
-
Šifrovanie IP telefónnych služieb (cez HTTPS) pre služby ako Extension Mobility
-
Vydávanie lokálne významných certifikátov (LSC) z funkcie proxy certifikačnej autority (CAPF) alebo verejnej certifikačnej autority (CA)
-
Šifrovať konfiguračné súbory
-
Šifrovanie médií a signalizácie
-
Zakážte tieto nastavenia, ak sa nepoužívajú: PC port, PC Voice VLAN Access, bezplatné ARP, webový prístup, tlačidlo Nastavenia, SSH, konzola
Implementácia bezpečnostných mechanizmov vo vyhradenej inštancii zabraňuje krádeži identity telefónov a servera Unified CM, manipulácii s údajmi a manipulácii so signalizáciou hovorov / toku médií.
Vyhradená inštancia cez sieť:
-
Vytvára a udržiava overené komunikačné toky
-
Digitálne podpíše súbory pred prenosom súboru do telefónu
-
Šifruje toky médií a signalizáciu hovorov medzi telefónmi Cisco Unified IP
Zabezpečenie v predvolenom nastavení poskytuje nasledujúce funkcie automatického zabezpečenia pre telefóny Cisco Unified IP:
-
Podpisovanie konfiguračných súborov telefónu
-
Podpora pre šifrovanie konfiguračných súborov telefónu
-
HTTPS s Tomcatom a ďalšími webovými službami (MIDlety)
Pre Unified CM Release 8.0 novšie sú tieto bezpečnostné funkcie poskytované štandardne bez spustenia klienta Certificate Trust List (CTL).
Služba overovania dôveryhodnostiKeďže v sieti je veľký počet telefónov a IP telefóny majú obmedzenú pamäť, Cisco Unified CM funguje ako vzdialené úložisko dôveryhodnosti prostredníctvom služby Trust Verification Service (TVS), takže úložisko dôveryhodnosti certifikátov nemusí byť umiestnené na každom telefóne. IP telefóny Cisco kontaktujú server TVS kvôli overeniu, pretože nemôžu overiť podpis alebo certifikát prostredníctvom súborov CTL alebo ITL. S centrálnym úložiskom dôveryhodnosti je jednoduchšie spravovať ako s úložiskom dôveryhodnosti v každom telefóne Cisco Unified IP.
TVS umožňuje telefónom Cisco Unified IP overovať aplikačné servery, ako sú EM služby, adresár a MIDlet, počas vytvárania HTTPS.
Počiatočný zoznam dôveryhodnýchSúbor Initial Trust List (ITL) sa používa na počiatočné zabezpečenie, aby koncové body mohli dôverovať Cisco Unified CM. ITL nepotrebuje explicitne aktivovať žiadne bezpečnostné funkcie. Súbor ITL sa automaticky vytvorí pri inštalácii klastra. Na podpísanie súboru ITL sa používa súkromný kľúč servera Unified CM Trivial File Transfer Protocol (TFTP).
Keď je klaster alebo server Cisco Unified CM v nezabezpečenom režime, súbor ITL sa stiahne do každého podporovaného IP telefónu Cisco. Partner môže zobraziť obsah súboru ITL pomocou príkazu CLI, admin:show itl.
Telefóny Cisco IP potrebujú súbor ITL na vykonávanie nasledujúcich úloh:
-
Bezpečná komunikácia s CAPF, predpoklad na podporu šifrovania konfiguračného súboru
-
Overte podpis konfiguračného súboru
-
Autentifikácia aplikačných serverov, ako sú EM služby, adresár a MIDlet počas vytvárania HTTPS pomocou TVS
Overenie zariadenia, súboru a signalizácie závisí od vytvorenia súboru zoznamu dôveryhodných certifikátov (CTL), ktorý sa vytvorí, keď partner alebo zákazník nainštaluje a nakonfiguruje klienta zoznamu dôveryhodných certifikátov Cisco.
Súbor CTL obsahuje položky pre nasledujúce servery alebo bezpečnostné tokeny:
-
Token zabezpečenia správcu systému (SAST)
-
Služby Cisco CallManager a Cisco TFTP, ktoré sú spustené na rovnakom serveri
-
Funkcia proxy certifikačnej autority (CAPF)
-
TFTP servery
-
ASA firewall
Súbor CTL obsahuje certifikát servera, verejný kľúč, sériové číslo, podpis, názov vydavateľa, názov subjektu, funkciu servera, názov DNS a adresu IP pre každý server.
Zabezpečenie telefónu pomocou CTL poskytuje nasledujúce funkcie:
-
Autentifikácia TFTP stiahnutých súborov (konfigurácia, miestne nastavenie, zoznam zvonení atď.) pomocou podpisového kľúča
-
Šifrovanie konfiguračných súborov TFTP pomocou podpisového kľúča
-
Šifrovaná signalizácia hovoru pre IP telefóny
-
Šifrovaný zvuk hovoru (médiá) pre IP telefóny
Vyhradená inštancia poskytuje registráciu koncových bodov a spracovanie hovorov. Signalizácia medzi Cisco Unified CM a koncovými bodmi je založená na protokole Secure Skinny Client Control Protocol (SCCP) alebo Session Initiation Protocol (SIP) a môže byť šifrovaná pomocou Transport Layer Security (TLS). Médiá z/do koncových bodov sú založené na protokole Real-time Transport Protocol (RTP) a môžu byť tiež šifrované pomocou Secure RTP (SRTP).
Povolenie zmiešaného režimu na Unified CM umožňuje šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.
Bezpečné aplikácie UC
Povolenie zmiešaného režimu vo vyhradenej inštanciiZmiešaný režim je predvolene povolený vo vyhradenej inštancii.
Povolenie zmiešaného režimu vo vyhradenej inštancii umožňuje vykonávať šifrovanie signalizácie a mediálneho prenosu z a do koncových bodov Cisco.
Vo vydaní Cisco Unified CM 12.5(1) bola pre klientov Jabber a Webex pridaná nová možnosť povoliť šifrovanie signalizácie a médií na základe SIP OAuth namiesto zmiešaného režimu / CTL. Preto vo verzii Unified CM 12.5(1) možno použiť SIP OAuth a SRTP na umožnenie šifrovania pre signalizáciu a médiá pre klientov Jabber alebo Webex. V súčasnosti je pre telefóny Cisco IP a ďalšie koncové body Cisco naďalej potrebné povoliť zmiešaný režim. V budúcom vydaní sa plánuje pridať podporu pre SIP OAuth v koncových bodoch 7800/8800.
Zabezpečenie hlasových správCisco Unity Connection sa pripája k Unified CM cez port TLS. Keď je režim zabezpečenia zariadenia nezabezpečený, Cisco Unity Connection sa pripojí k Unified CM cez port SCCP.
Ak chcete nakonfigurovať zabezpečenie pre porty hlasových správ Unified CM a zariadenia Cisco Unity, ktoré používajú SCCP alebo zariadenia Cisco Unity Connection, ktoré používajú SCCP, partner si môže vybrať režim zabezpečenia zariadenia pre port. Ak vyberiete overený port hlasovej schránky, otvorí sa pripojenie TLS, ktoré overí zariadenia pomocou vzájomnej výmeny certifikátov (každé zariadenie akceptuje certifikát druhého zariadenia). Ak zvolíte šifrovaný port hlasovej schránky, systém najprv overí zariadenia a potom medzi zariadeniami odošle šifrované hlasové toky.
Ďalšie informácie o portoch zabezpečenia hlasových správ nájdete v časti: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Zabezpečenie pre SRST, kufre, brány, CUBE/SBC
Brána s podporou Cisco Unified Survivable Remote Site Telephony (SRST) poskytuje obmedzené úlohy spracovania hovorov, ak Cisco Unified CM vo vyhradenej inštancii nemôže uskutočniť hovor.
Bezpečné brány s podporou SRST obsahujú certifikát s vlastným podpisom. Keď partner vykoná úlohy konfigurácie SRST v správe Unified CM, Unified CM použije pripojenie TLS na autentifikáciu so službou Certificate Provider v bráne s povoleným SRST. Unified CM potom načíta certifikát z brány s povoleným SRST a pridá certifikát do databázy Unified CM.
Keď partner resetuje závislé zariadenia v Zjednotenej správe CM, server TFTP pridá certifikát brány s povoleným SRST do súboru cnf.xml telefónu a odošle súbor do telefónu. Zabezpečený telefón potom používa pripojenie TLS na interakciu s bránou s povoleným SRST.
Pre odchádzajúce hovory PSTN alebo prechádzajúce cez prvok Cisco Unified Border Element (CUBE) sa odporúča mať zabezpečené spojky pre hovor pochádzajúci z Cisco Unified CM do brány.
SIP trunky môžu podporovať bezpečné volania ako pre signalizáciu, tak aj pre médiá; TLS poskytuje šifrovanie signalizácie a SRTP poskytuje šifrovanie médií.
Zabezpečenie komunikácie medzi Cisco Unified CM a CUBE
Na zabezpečenú komunikáciu medzi Cisco Unified CM a CUBE musia partneri/zákazníci používať certifikát s vlastným podpisom alebo certifikáty podpísané CA.
Pre certifikáty s vlastným podpisom:
-
CUBE a Cisco Unified CM generujú certifikáty s vlastným podpisom
-
CUBE exportuje certifikát do Cisco Unified CM
-
Cisco Unified CM exportuje certifikát do CUBE
Pre certifikáty podpísané CA:
-
Klient vygeneruje pár kľúčov a odošle žiadosť o podpis certifikátu (CSR) certifikačnej autorite (CA).
-
CA ho podpíše svojím súkromným kľúčom, čím vytvorí certifikát totožnosti
-
Klient nainštaluje zoznam dôveryhodných koreňových a sprostredkovateľských certifikátov CA a Certifikát identity
Zabezpečenie pre vzdialené koncové body
S koncovými bodmi mobilného a vzdialeného prístupu (MRA) sú signalizácia a médiá medzi koncovými bodmi MRA a uzlami Expressway vždy šifrované. Ak sa pre koncové body MRA používa protokol Interactive Connectivity Establishment (ICE), vyžaduje sa signalizácia a šifrovanie médií koncových bodov MRA. Šifrovanie signalizácie a médií medzi Expressway-C a internými servermi Unified CM, internými koncovými bodmi alebo inými internými zariadeniami však vyžaduje zmiešaný režim alebo SIP OAuth.
Cisco Expressway poskytuje bezpečný prechod cez firewall a podporu na strane linky pre Unified CM registrácie. Unified CM poskytuje riadenie hovorov pre mobilné aj lokálne koncové body. Signalizácia prechádza riešením Expressway medzi vzdialeným koncovým bodom a Unified CM. Médiá prechádzajú cez riešenie Expressway a sú prenášané medzi koncovými bodmi priamo. Všetky médiá sú medzi Expressway-C a mobilným koncovým bodom šifrované.
Akékoľvek riešenie MRA vyžaduje Expressway a Unified CM s mäkkými klientmi a/alebo pevnými koncovými bodmi kompatibilnými s MRA. Riešenie môže voliteľne zahŕňať IM a Presence Service a Unity Connection.
Zhrnutie protokolu
Nasledujúca tabuľka zobrazuje protokoly a súvisiace služby používané v riešení Unified CM.
Protokol |
Zabezpečenie |
servis |
---|---|---|
SIP |
TLS |
Zriadenie relácie: Zaregistrujte sa, pozvite atď. |
HTTPS |
TLS |
Prihlásenie, poskytovanie/konfigurácia, adresár, vizuálna hlasová schránka |
Médiá |
SRTP |
Médiá: Zvuk, video, zdieľanie obsahu |
XMPP |
TLS |
Okamžité správy, prítomnosť, federácia |
Viac informácií o konfigurácii MRA nájdete na: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfigurácie
Vyhradená inštancia poskytuje partnerovi flexibilitu na prispôsobenie služieb pre koncových používateľov prostredníctvom úplnej kontroly nad konfiguráciami druhého dňa. V dôsledku toho je partner výlučne zodpovedný za správnu konfiguráciu služby vyhradenej inštancie pre prostredie koncového používateľa. To zahŕňa, ale nie výlučne:
-
Výber zabezpečených/nezabezpečených hovorov, zabezpečených/nezabezpečených protokolov, ako sú SIP/sSIP, http/https atď., a pochopenie všetkých súvisiacich rizík.
-
Pre všetky MAC adresy, ktoré nie sú nakonfigurované ako bezpečné SIP vo vyhradenej inštancii, môže útočník poslať správu SIP Register pomocou tejto MAC adresy a bude môcť uskutočňovať SIP hovory, čo vedie k podvodom s mýtom. Výhodou je, že útočník môže zaregistrovať svoje zariadenie/softvér SIP do vyhradenej inštancie bez autorizácie, ak pozná MAC adresu zariadenia zaregistrovaného vo vyhradenej inštancii.
-
Pravidlá hovorov Expressway-E, pravidlá transformácie a vyhľadávania by mali byť nakonfigurované tak, aby sa zabránilo podvodom s mýtom. Ďalšie informácie o predchádzaní podvodom s mýtom pomocou rýchlostných ciest nájdete v sekcii Zabezpečenie pre rýchlostnú cestu C a rýchlostnú cestu-E v článku Collaboration SRND.
-
Konfigurácia plánu vytáčania, aby sa zaistilo, že používatelia môžu vytáčať iba povolené ciele, napr. zakázať vnútroštátne/medzinárodné vytáčanie, správne smerovať tiesňové volania atď. Ďalšie informácie o uplatňovaní obmedzení pomocou plánu vytáčania nájdete v sekcii Telefonický plán v SRND spolupráce.
Požiadavky na certifikát pre zabezpečené pripojenia vo vyhradenej inštancii
V prípade vyhradenej inštancie spoločnosť Cisco poskytne doménu a podpíše všetky certifikáty pre aplikácie UC pomocou verejnej certifikačnej autority (CA).
Vyhradená inštancia – čísla portov a protokoly
Nasledujúce tabuľky popisujú porty a protokoly, ktoré sú podporované vo vyhradenej inštancii. Porty, ktoré sa používajú pre daného zákazníka, závisia od nasadenia a riešenia zákazníka. Protokoly závisia od preferencií zákazníka (SCCP vs SIP), existujúcich lokálnych zariadení a akej úrovne zabezpečenia na určenie, ktoré porty sa majú použiť v každom nasadení.
Vyhradená inštancia neumožňuje preklad sieťových adries (NAT) medzi koncovými bodmi a Unified CM, pretože niektoré funkcie toku hovorov nebudú fungovať, napríklad funkcia uprostred hovoru.
Vyhradená inštancia – Zákaznícke porty
Porty dostupné pre zákazníkov – medzi lokálnym zákazníkom a vyhradenou inštanciou sú uvedené v tabuľke 1 Zákaznícke porty vyhradenej inštancie. Všetky porty uvedené nižšie sú pre zákaznícky prenos prechádzajúci cez peeringové prepojenia.
Port SNMP je predvolene otvorený iba pre službu Cisco Emergency Responder, aby podporovala jeho funkčnosť. Keďže nepodporujeme partnerov ani zákazníkov, ktorí monitorujú aplikácie UC nasadené v cloude Dedicated Instance, nepovoľujeme otvorenie portu SNMP pre žiadne iné aplikácie UC.
Porty v rozsahu 5063 až 5080 sú vyhradené spoločnosťou Cisco pre iné cloudové integrácie. Správcom partnerov alebo zákazníkov sa odporúča, aby tieto porty nepoužívali vo svojich konfiguráciách.
Protokol |
TCP/UDP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
aplikácie UC Nie je povolené pre aplikácie Cisco Expressway. |
Viac ako 1023 |
22 |
Správa |
TFTP |
UDP |
Koncový bod |
Unified CM |
Viac ako 1023 |
69 |
Podpora starších koncových bodov |
LDAP |
TCP |
aplikácie UC |
Externý adresár |
Viac ako 1023 |
389 |
Synchronizácia adresára so zákazníckym LDAP |
HTTPS |
TCP |
Prehliadač |
aplikácie UC |
Viac ako 1023 |
443 |
Webový prístup pre samoobslužné a administratívne rozhrania |
Odchádzajúca pošta (ZABEZPEČENÁ) |
TCP |
Aplikácia UC |
CUCxn |
Viac ako 1023 |
587 |
Používa sa na vytváranie a odosielanie zabezpečených správ akýmkoľvek určeným príjemcom |
LDAP (ZABEZPEČENÉ) |
TCP |
aplikácie UC |
Externý adresár |
Viac ako 1023 |
636 |
Synchronizácia adresára so zákazníckym LDAP |
H323 |
TCP |
Brána |
Unified CM |
Viac ako 1023 |
1720 |
Signalizácia hovoru |
H323 |
TCP |
Unified CM |
Unified CM |
Viac ako 1023 |
1720 |
Signalizácia hovoru |
SCCP |
TCP |
Koncový bod |
Zjednotený CM, CUCxn |
Viac ako 1023 |
2000 |
Signalizácia hovoru |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Viac ako 1023 |
2000 |
Signalizácia hovoru |
MGCP |
UDP |
Brána |
Brána |
Viac ako 1023 |
2427 |
Signalizácia hovoru |
Backhaul MGCP |
TCP |
Brána |
Unified CM |
Viac ako 1023 |
2428 |
Signalizácia hovoru |
SCCP (ZABEZPEČENÉ) |
TCP |
Koncový bod |
Zjednotený CM, CUCxn |
Viac ako 1023 |
2443 |
Signalizácia hovoru |
SCCP (ZABEZPEČENÉ) |
TCP |
Unified CM |
Unified CM, Gateway |
Viac ako 1023 |
2443 |
Signalizácia hovoru |
Overenie dôvery |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
2445 |
Poskytovanie služby overovania dôveryhodnosti koncovým bodom |
CTI |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
2748 |
Spojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager |
Bezpečné CTI |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
2749 |
Zabezpečené spojenie medzi aplikáciami CTI (JTAPI/TSP) a CTIManager |
Globálny katalóg LDAP |
TCP |
Aplikácie UC |
Externý adresár |
Viac ako 1023 |
3268 |
Synchronizácia adresára so zákazníckym LDAP |
Globálny katalóg LDAP |
TCP |
Aplikácie UC |
Externý adresár |
Viac ako 1023 |
3269 |
Synchronizácia adresára so zákazníckym LDAP |
Služba CAPF |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
3804 |
Port počúvania funkcie proxy certifikačnej autority (CAPF) na vydávanie lokálne významných certifikátov (LSC) do IP telefónov |
SIP |
TCP |
Koncový bod |
Zjednotený CM, CUCxn |
Viac ako 1023 |
5060 |
Signalizácia hovoru |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Viac ako 1023 |
5060 |
Signalizácia hovoru |
SIP (ZABEZPEČENÉ) |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
5061 |
Signalizácia hovoru |
SIP (ZABEZPEČENÉ) |
TCP |
Unified CM |
Unified CM, Gateway |
Viac ako 1023 |
5061 |
Signalizácia hovoru |
SIP (OAUTH) |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
5090 |
Signalizácia hovoru |
XMPP |
TCP |
Klient Jabber |
Cisco IM&P |
Viac ako 1023 |
5222 |
Okamžité správy a prítomnosť |
HTTP |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
6970 |
Sťahovanie konfigurácie a obrázkov do koncových bodov |
HTTPS |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
6971 |
Sťahovanie konfigurácie a obrázkov do koncových bodov |
HTTPS |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
6972 |
Sťahovanie konfigurácie a obrázkov do koncových bodov |
HTTP |
TCP |
Klient Jabber |
CUCxn |
Viac ako 1023 |
7080 |
Upozornenia hlasovej schránky |
HTTPS |
TCP |
Klient Jabber |
CUCxn |
Viac ako 1023 |
7443 |
Bezpečné upozornenia hlasovej schránky |
HTTPS |
TCP |
Unified CM |
Unified CM |
Viac ako 1023 |
7501 |
Používa ho služba Intercluster Lookup Service (ILS) na overenie založené na certifikátoch |
HTTPS |
TCP |
Unified CM |
Unified CM |
Viac ako 1023 |
7502 |
Používa ILS na autentifikáciu na základe hesla |
IMAP |
TCP |
Klient Jabber |
CUCxn |
Viac ako 1023 |
7993 |
IMAP cez TLS |
HTTP |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
8080 |
Adresár URI pre podporu starších koncových bodov |
HTTPS |
TCP |
Prehliadač, koncový bod |
aplikácie UC |
Viac ako 1023 |
8443 |
Webový prístup pre samoobslužné a administratívne rozhrania, UDS |
HTTPS |
TCP |
Telefón |
Unified CM |
Viac ako 1023 |
9443 |
Overené vyhľadávanie kontaktov |
HTTPs |
TCP |
Koncový bod |
Unified CM |
Viac ako 1023 |
9444 |
Funkcia správy slúchadiel |
Bezpečné RTP/SRTP |
UDP |
Unified CM |
Telefón |
16384 až 32767 * |
16384 až 32767 * |
Médiá (audio) – podržaná hudba, oznamovač, softvérový konferenčný most (otvorený na základe signalizácie hovoru) |
Bezpečné RTP/SRTP |
UDP |
Telefón |
Unified CM |
16384 až 32767 * |
16384 až 32767 * |
Médiá (audio) – podržaná hudba, oznamovač, softvérový konferenčný most (otvorený na základe signalizácie hovoru) |
COBRAS |
TCP |
Klient |
CUCxn |
Viac ako 1023 |
20532 |
Zálohovanie a obnovenie balíka aplikácií |
ICMP |
ICMP |
Koncový bod |
aplikácie UC |
n/a |
n/a |
Ping |
ICMP |
ICMP |
aplikácie UC |
Koncový bod |
n/a |
n/a |
Ping |
DNS | UDP a TCP |
DNS forwarder |
Vyhradené servery DNS |
Viac ako 1023 |
53 |
Preposielače DNS v priestoroch zákazníka na servery DNS vyhradenej inštancie. Ďalšie informácie nájdete v časti Požiadavky na DNS . |
* V niektorých špeciálnych prípadoch sa môže použiť väčší rozsah. |
Vyhradená inštancia – OTT porty
Zákazníci a partneri na nastavenie mobilného a vzdialeného prístupu (MRA) môžu použiť nasledujúci port:
Protokol |
TCP / UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
ZABEZPEČENÉ RTP/RTCP |
UDP |
Rýchlostná cesta C |
Klient |
Viac ako 1023 |
36000-59999 |
Secure Media pre MRA a B2B hovory |
Inter-op SIP trunk medzi multitenantom a vyhradenou inštanciou (iba pre zväzok založený na registrácii)
Nasledujúci zoznam portov musí byť povolený na firewalle zákazníka pre spojenie SIP trunku založeného na registrácii medzi multitenantom a vyhradenou inštanciou.
Protokol |
TCP / UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Klient |
Viac ako 1023 |
8000-48198 |
Médiá od Webex Calling Multitenant |
Vyhradená inštancia – porty UCCX
Nasledujúci zoznam portov môžu zákazníci a partneri použiť na konfiguráciu UCCX.
Protokol |
TCP/UCP |
Zdroj |
Cieľ |
Zdrojový port |
Cieľový prístav |
Účel |
---|---|---|---|---|---|---|
SSH |
TCP |
Klient |
UCCX |
Viac ako 1023 |
22 |
SFTP a SSH |
Informix |
TCP |
Klient alebo Server |
UCCX |
Viac ako 1023 |
1504 |
Databázový port Contact Center Express |
SIP |
UDP a TCP |
SIP GW alebo MCRP server |
UCCX |
Viac ako 1023 |
5065 |
Komunikácia so vzdialenými uzlami GW a MCRP |
XMPP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
5223 |
Zabezpečené pripojenie XMPP medzi serverom Finesse a vlastnými aplikáciami tretích strán |
CVD |
TCP |
Klient |
UCCX |
Viac ako 1023 |
6999 |
Editor aplikácií CCX |
HTTPS |
TCP |
Klient |
UCCX |
Viac ako 1023 |
7443 |
Bezpečné BOSH spojenie medzi serverom Finesse a desktopom agenta a supervízora pre komunikáciu cez HTTPS |
HTTP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8080 |
Klienti podávania správ o živých údajoch sa pripájajú k serveru socket.IO |
HTTP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8081 |
Klientsky prehliadač sa pokúša o prístup k webovému rozhraniu Cisco Unified Intelligence Center |
HTTP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8443 |
Admin GUI, RTMT, DB prístup cez SOAP |
HTTPS |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8444 |
Webové rozhranie Cisco Unified Intelligence Center |
HTTPS |
TCP |
Prehliadač a klienti REST |
UCCX |
Viac ako 1023 |
8445 |
Bezpečný port pre Finesse |
HTTPS |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8447 |
HTTPS – online pomoc centra Unified Intelligence Center |
HTTPS |
TCP |
Klient |
UCCX |
Viac ako 1023 |
8553 |
Komponenty jednotného prihlásenia (SSO) pristupujú k tomuto rozhraniu, aby poznali prevádzkový stav Cisco IdS. |
HTTP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
9080 |
Klienti, ktorí sa pokúšajú získať prístup k spúšťačom HTTP alebo dokumentom / výzvam / gramatikám / živým údajom. |
HTTPS |
TCP |
Klient |
UCCX |
Viac ako 1023 |
9443 |
Zabezpečený port používaný na odpovedanie klientom pokúšajúcim sa o prístup k spúšťačom HTTPS |
TCP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
12014 |
Toto je port, kde sa môžu klienti hlásení živých údajov pripojiť k serveru socket.IO |
TCP |
TCP |
Klient |
UCCX |
Viac ako 1023 |
12015 |
Toto je port, kde sa môžu klienti hlásení živých údajov pripojiť k serveru socket.IO |
CTI |
TCP |
Klient |
UCCX |
Viac ako 1023 |
12028 |
Klient CTI tretej strany pre CCX |
RTP (médiá) |
TCP |
Koncový bod |
UCCX |
Viac ako 1023 |
Viac ako 1023 |
Port médií sa otvára dynamicky podľa potreby |
RTP (médiá) |
TCP |
Klient |
Koncový bod |
Viac ako 1023 |
Viac ako 1023 |
Port médií sa otvára dynamicky podľa potreby |
Bezpečnosť klienta
Zabezpečenie Jabber a Webex pomocou SIP OAuth
Klienti Jabber a Webex sa autentifikujú prostredníctvom tokenu OAuth namiesto lokálne významného certifikátu (LSC), ktorý nevyžaduje aktiváciu funkcie proxy certifikačnej autority (CAPF) (aj pre MRA). SIP OAuth pracujúci so zmiešaným režimom alebo bez neho bol predstavený v Cisco Unified CM 12.5(1), Jabber 12.5 a Expressway X12.5.
V Cisco Unified CM 12.5 máme novú možnosť v profile zabezpečenia telefónu, ktorá umožňuje šifrovanie bez LSC/CAPF pomocou jediného tokenu Transport Layer Security (TLS) + OAuth v SIP REGISTER. Uzly Expressway-C používajú rozhranie Administrative XML Web Service (AXL) na informovanie Cisco Unified CM o SN/SAN vo svojom certifikáte. Cisco Unified CM používa tieto informácie na overenie certifikátu Exp-C pri vytváraní vzájomného pripojenia TLS.
SIP OAuth umožňuje šifrovanie médií a signalizácie bez certifikátu koncového bodu (LSC).
Cisco Jabber používa dočasné porty a zabezpečené porty 6971 a 6972 prostredníctvom pripojenia HTTPS k serveru TFTP na stiahnutie konfiguračných súborov. Port 6970 je nezabezpečený port na sťahovanie cez HTTP.
Viac podrobností o konfigurácii SIP OAuth: Režim SIP OAuth.
DNS požiadavky
Pre vyhradenú inštanciu Cisco poskytuje FQDN pre službu v každom regióne v nasledujúcom formáte ..wxc-di.webex.com , napríklad, xyz.amer.wxc- di.webex.com.
Hodnotu „zákazníka“ poskytuje správca ako súčasť Sprievodcu prvým nastavením (FTSW). Ďalšie informácie nájdete v časti Aktivácia služby vyhradenej inštancie.
Záznamy DNS pre tento FQDN musia byť rozlíšiteľné z interného servera DNS zákazníka, aby podporovali lokálne zariadenia pripájajúce sa k vyhradenej inštancii. Na uľahčenie rozlíšenia musí zákazník nakonfigurovať podmienený preposielač pre tento FQDN na svojom serveri DNS smerujúci na službu DNS vyhradenej inštancie. Služba DNS vyhradenej inštancie je regionálna a možno ju dosiahnuť prostredníctvom partnerského vzťahu k vyhradenej inštancii pomocou nasledujúcich adries IP, ako je uvedené v tabuľke nižšie Adresa IP služby DNS vyhradenej inštancie.
Región/DC | IP adresa služby DNS vyhradenej inštancie |
Príklad podmieneného preposielania |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EÚ |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
HRIECH |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
UK |
<customer>.uk.wxc-di.webex.com | |
LON |
178.215.135.100 |
|
MUŽ |
178.215.135.228 |
Možnosť ping je pre vyššie uvedené adresy IP servera DNS z bezpečnostných dôvodov zakázaná.
Kým nebude zavedené podmienené preposielanie, zariadenia sa nebudú môcť zaregistrovať do Vyhradenej inštancie z internej siete zákazníka prostredníctvom partnerských prepojení. Podmienené preposielanie sa nevyžaduje pri registrácii prostredníctvom mobilného a vzdialeného prístupu (MRA), pretože všetky požadované externé záznamy DNS na uľahčenie MRA budú vopred poskytnuté spoločnosťou Cisco.
Keď používate aplikáciu Webex ako svojho volajúceho mäkkého klienta vo vyhradenej inštancii, v Control Hub je potrebné nakonfigurovať profil UC Manager pre doménu hlasových služieb (VSD) každého regiónu. Ďalšie informácie nájdete v časti Profily správcu UC v Cisco Webex Control Hub. Aplikácia Webex bude schopná automaticky vyriešiť zákazníkovu Expressway Edge bez akéhokoľvek zásahu koncového používateľa.
Doména hlasovej služby bude zákazníkovi poskytnutá ako súčasť partnerského prístupového dokumentu po dokončení aktivácie služby.
Na rozlíšenie DNS telefónu použite lokálny smerovač
V prípade telefónov, ktoré nemajú prístup k podnikovým serverom DNS, je možné použiť lokálny smerovač Cisco na presmerovanie požiadaviek DNS na cloud DNS vyhradenej inštancie. To odstraňuje potrebu nasadenia lokálneho servera DNS a poskytuje plnú podporu DNS vrátane ukladania do vyrovnávacej pamäte.
Príklad konfigurácie :
!
ip dns server
ip name-server
!
Použitie DNS v tomto modeli nasadenia je špecifické pre telefóny a možno ho použiť iba na riešenie FQDN s doménou z vyhradenej inštancie zákazníkov.
Referencie
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), téma Zabezpečenie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Bezpečnostná príručka pre Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html