- Domov
- /
- Članek
Ta dokument se osredotoča predvsem na omrežne in varnostne zahteve za rešitev Dedicated Instance, vključno z večplastnim pristopom k funkcijam in funkcionalnostim, ki zagotavljajo varen fizični dostop, varno omrežje, varne končne točke in varne aplikacije Cisco UC.
Omrežne zahteve za namenski primerek
Webex Calling Dedicated Instance je del portfelja Cisco Cloud Calling, ki ga poganja tehnologija sodelovanja Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance ponuja rešitve za glas, video, sporočanje in mobilnost s funkcijami in prednostmi Cisco IP telefonov, mobilnih naprav in namiznih odjemalcev, ki se varno povežejo z namenskim primerkom.
Ta članek je namenjen omrežnim skrbnikom, zlasti varnostnim skrbnikom požarnega zidu in strežnika proxy, ki želijo uporabljati namensko instanco v svoji organizaciji.
Pregled varnosti: Varnost v plasteh
Dedicated Instance za varnost uporablja večplastni pristop. Plasti vključujejo:
Fizični dostop
Omrežje
Končne točke
UC aplikacije
Naslednji razdelki opisujejo plasti varnosti v uvedbah namenskih primerkov.
Fizično varovanje
Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov Cisco Dedicated Instance Data Center. Ko je fizična varnost ogrožena, se lahko sprožijo preprosti napadi, kot je motnja storitve z izklopom napajanja strankinih stikal. S fizičnim dostopom lahko napadalci dobijo dostop do strežniških naprav, ponastavijo gesla in pridobijo dostop do stikal. Fizični dostop omogoča tudi bolj sofisticirane napade, kot so napadi človek v sredini, zato je druga varnostna plast, varnost omrežja, kritična.
Pogoni s samošifriranjem se uporabljajo v namenskih podatkovnih centrih primerkov, ki gostijo aplikacije UC.
Za več informacij o splošnih varnostnih postopkih glejte dokumentacijo na naslednjem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Omrežna varnost
Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Odgovornost partnerja je zagotoviti najboljše varnostne prakse, kot so:
Ločen VLAN za glas in podatke
Omogočite Varnost vrat, ki omejuje dovoljeno število naslovov MAC na vrata, proti preplavljanju tabele CAM
Vir IP Zaščita pred lažnimi naslovi IP
Dynamic ARP Inspection (DAI) pregleduje protokol razreševanja naslovov (ARP) in brezplačni ARP (GARP) za kršitve (proti ponarejanju ARP)
802.1x omejuje dostop do omrežja za preverjanje pristnosti naprav na dodeljenih VLAN (telefoni podpirajo 802.1x)
Konfiguracija kakovosti storitve (QoS) za ustrezno označevanje govornih paketov
Konfiguracije vrat požarnega zidu za blokiranje kakršnega koli drugega prometa
Varnost končnih točk
Končne točke Cisco podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), potrdilo, nameščeno proizvajalcem (MIC) in podpisane konfiguracijske datoteke, ki zagotavljajo določeno raven varnosti za končne točke.
Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:
Šifrirajte telefonske storitve IP (prek HTTPS) za storitve, kot je Extension Mobility
Izdajanje lokalno pomembnih potrdil (LSC) iz funkcije posrednika overitelja potrdil (CAPF) ali javnega potrdila (CA)
Šifrirajte konfiguracijske datoteke
Šifrirajte medije in signalizacijo
Onemogočite te nastavitve, če jih ne uporabljate: Vrata za računalnik, glasovni dostop do VLAN za računalnik, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola
Implementacija varnostnih mehanizmov v namenski instanci preprečuje krajo identitete telefonov in strežnika Unified CM, poseganje v podatke in poseganje v klicno signalizacijo/medijski tok.
Namenska instanca prek omrežja:
Vzpostavlja in vzdržuje overjene komunikacijske tokove
Digitalno podpiše datoteke pred prenosom datoteke v telefon
Šifrira medijske tokove in signalizacijo klicev med IP telefoni Cisco Unified
Varnost privzeto zagotavlja naslednje samodejne varnostne funkcije za telefone IP Cisco Unified:
Podpisovanje konfiguracijskih datotek telefona
Podpora za šifriranje konfiguracijske datoteke telefona
HTTPS s Tomcatom in drugimi spletnimi storitvami (MIDleti)
Za poznejšo izdajo Unified CM Release 8.0 so te varnostne funkcije privzeto na voljo brez izvajanja odjemalca Certificate Trust List (CTL).
Storitev preverjanja zaupanjaKer je v omrežju veliko telefonov in imajo telefoni IP omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da ni treba namestiti shrambe zaupanja na vsakem telefonu. IP telefoni Cisco vzpostavijo stik s strežnikom TVS za preverjanje, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Imeti osrednjo shrambo zaupanja je lažje upravljati kot imeti shrambo zaupanja na vsakem telefonu IP Cisco Unified.
TVS omogoča IP-telefonom Cisco Unified preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavitvijo HTTPS.
Začetni seznam zaupanjaDatoteka z začetnim seznamom zaupanja (ITL) se uporablja za začetno varnost, tako da lahko končne točke zaupajo Cisco Unified CM. ITL ne potrebuje nobenih varnostnih funkcij, ki bi bile izrecno omogočene. Datoteka ITL se samodejno ustvari, ko je gruča nameščena. Za podpis datoteke ITL se uporablja zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP).
Ko je gruča ali strežnik Cisco Unified CM v nezaščitenem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko ogleda vsebino datoteke ITL z ukazom CLI, admin:show itl.
IP telefoni Cisco potrebujejo datoteko ITL za izvajanje naslednjih nalog:
Varno komunicirajte s CAPF, kar je predpogoj za podporo šifriranja konfiguracijske datoteke
Preverite pristnost podpisa konfiguracijske datoteke
Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet med vzpostavitvijo HTTPS z uporabo TVS
Preverjanje pristnosti naprave, datoteke in signalizacije se zanaša na ustvarjanje datoteke seznama zaupanja vrednih potrdil (CTL), ki se ustvari, ko partner ali stranka namesti in konfigurira odjemalca seznama zaupanja vrednih potrdil Cisco.
Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:
Varnostni žeton sistemskega skrbnika (SAST)
Storitve Cisco CallManager in Cisco TFTP, ki se izvajata na istem strežniku
Funkcija posrednika overitelja potrdil (CAPF)
Strežnik(i) TFTP
ASA požarni zid
Datoteka CTL vsebuje potrdilo strežnika, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.
Varnost telefona s CTL zagotavlja naslednje funkcije:
Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, področne nastavitve, obročni seznam itd.) z uporabo ključa za podpisovanje
Šifriranje konfiguracijskih datotek TFTP z uporabo podpisnega ključa
Šifrirano signaliziranje klicev za IP telefone
Šifriran zvok klica (medij) za IP telefone
Namenska instanca zagotavlja registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu Secure Skinny Client Control Protocol (SCCP) ali Session Initiation Protocol (SIP) in se lahko šifrira z uporabo Transport Layer Security (TLS). Mediji od/do končnih točk temeljijo na protokolu za prenos v realnem času (RTP) in se lahko tudi šifrirajo z uporabo varnega RTP (SRTP).
Omogočanje mešanega načina na Unified CM omogoča šifriranje signalizacije in medijskega prometa od in do končnih točk Cisco.
Varne UC aplikacije
Omogočanje mešanega načina v namenskem primerkuMešani način je privzeto omogočen v namenskem primerku.
Omogočanje mešanega načina v namenski instanci omogoča zmožnost izvajanja šifriranja signalizacije in medijskega prometa od in do končnih točk Cisco.
V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato je mogoče v izdaji Unified CM 12.5(1) uporabiti SIP OAuth in SRTP za omogočanje šifriranja za signalizacijo in medije za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno zahtevano za telefone Cisco IP in druge končne točke Cisco. Obstaja načrt za dodajanje podpore za SIP OAuth v končne točke 7800/8800 v prihodnji izdaji.
Varnost glasovnih sporočilCisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko varnostni način naprave ni varen, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.
Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki uporabljajo SCCP, ali naprave Cisco Unity Connection, ki izvajajo SCCP, lahko partner izbere varen način zaščite naprave za vrata. Če izberete overjena vrata glasovne pošte, se odpre povezava TLS, ki overi naprave z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav in nato med napravami pošlje šifrirane glasovne tokove.
Za več informacij o varnostnih vratih za glasovno sporočanje glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Varnost za SRST, Trunks, Gateways, CUBE/SBC
Prehod, ki podpira Cisco Unified Survivable Remote Site Telephony (SRST), omogoča omejene naloge obdelave klicev, če Cisco Unified CM na namenski instanci ne more dokončati klica.
Varni prehodi, ki podpirajo SRST, vsebujejo samopodpisano potrdilo. Ko partner izvede konfiguracijske naloge SRST v Unified CM Administration, Unified CM uporabi povezavo TLS za preverjanje pristnosti s storitvijo ponudnika potrdil v prehodu, ki podpira SRST. Unified CM nato pridobi potrdilo iz prehoda, ki podpira SRST, in doda potrdilo v bazo podatkov Unified CM.
Ko partner ponastavi odvisne naprave v Unified CM Administration, strežnik TFTP doda potrdilo prehoda, ki podpira SRST, v datoteko cnf.xml telefona in pošlje datoteko v telefon. Varen telefon nato uporabi povezavo TLS za interakcijo s prehodom, ki podpira SRST.
Priporočljivo je, da imate varne povezave za klic, ki izvira iz Cisco Unified CM do prehoda za odhodne klice PSTN ali prečkanje Cisco Unified Border Element (CUBE).
Povezave SIP lahko podpirajo varne klice tako za signalizacijo kot tudi za medije; TLS zagotavlja šifriranje signalov, SRTP pa šifriranje medijev.
Varovanje komunikacij med Cisco Unified CM in CUBE
Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/stranke uporabljati samopodpisana potrdila ali potrdila, podpisana s strani CA.
Za samopodpisana potrdila:
CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila
CUBE izvozi potrdilo v Cisco Unified CM
Cisco Unified CM izvozi potrdilo v CUBE
Za potrdila s podpisom CA:
Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) overitelju potrdil (CA)
CA ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti
Odjemalec namesti seznam zaupanja vrednih korenskih in posredniških potrdil CA ter potrdilo identitete
Varnost za oddaljene končne točke
S končnimi točkami mobilnega in oddaljenega dostopa (MRA) so signalizacija in mediji vedno šifrirani med končnimi točkami MRA in vozlišči hitre ceste. Če se za končne točke MRA uporablja protokol Interactive Connectivity Establishment (ICE), je potrebno signaliziranje in šifriranje medijev končnih točk MRA. Vendar pa šifriranje signalizacije in medijev med Expressway-C in notranjimi strežniki Unified CM, notranjimi končnimi točkami ali drugimi notranjimi napravami zahteva mešani način ali SIP OAuth.
Cisco Expressway zagotavlja varno prečkanje požarnega zidu in podporo na strani linije za registracije Unified CM. Unified CM zagotavlja nadzor klicev za mobilne in lokalne končne točke. Signalizacija prečka rešitev Expressway med oddaljeno končno točko in Unified CM. Mediji prečkajo rešitev Expressway in se neposredno prenašajo med končnimi točkami. Vsi mediji so šifrirani med Expressway-C in mobilno končno točko.
Vsaka rešitev MRA zahteva Expressway in Unified CM z mehkimi odjemalci, združljivimi z MRA, in/ali fiksnimi končnimi točkami. Rešitev lahko po želji vključuje storitve IM in Presence ter Unity Connection.
Povzetek protokola
Naslednja tabela prikazuje protokole in povezane storitve, uporabljene v rešitvi Unified CM.
Protokol | Varnost | Storitev |
---|---|---|
SIP | TLS | Ustanovitev seje: Registrirajte se, povabite itd. |
HTTPS | TLS | Prijava, zagotavljanje/konfiguracija, imenik, vizualna glasovna pošta |
Mediji | SRTP | mediji: Avdio, video, deljenje vsebine |
XMPP | TLS | Takojšnje sporočanje, prisotnost, federacija |
Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfiguracije
Namenska instanca partnerju nudi prilagodljivost pri prilagajanju storitev za končne uporabnike s popolnim nadzorom nad konfiguracijami drugega dne. Posledično je partner izključno odgovoren za pravilno konfiguracijo storitve Dedicated Instance za okolje končnega uporabnika. To vključuje, vendar ni omejeno na:
Izbira varnih/nevarnih klicev, varnih/nevarnih protokolov, kot so SIP/sSIP, http/https itd., in razumevanje vseh povezanih tveganj.
Za vse naslove MAC, ki niso konfigurirani kot varni SIP v namenski instanci, lahko napadalec pošlje sporočilo o registraciji SIP s tem naslovom MAC in lahko opravlja klice SIP, kar povzroči goljufijo pri cestnini. Pogoj je, da lahko napadalec brez pooblastila registrira svojo napravo/programsko opremo SIP v namenski primerek, če pozna naslov MAC naprave, registrirane v namenskem primerku.
Klicne politike, preoblikovanje in pravila iskanja za Expressway-E je treba konfigurirati, da se prepreči goljufija pri cestnini. Za več informacij o preprečevanju cestninskih goljufij na hitrih cestah glejte razdelek Varnost za hitro cesto C in hitro cesto-E Sodelovanje SRND.
Konfiguracija klicnega načrta, ki zagotavlja, da lahko uporabniki kličejo le dovoljene destinacije, npr. prepove nacionalno/mednarodno klicanje, so klici v sili pravilno usmerjeni itd. Za več informacij o uporabi omejitev z uporabo klicnega načrta glejte Dial Plan sekcija Sodelovanja SRND.
Zahteve za potrdila za varne povezave v namenski instanci
Za namenski primerek bo Cisco zagotovil domeno in podpisal vsa potrdila za aplikacije UC z uporabo javnega overitelja potrdil (CA).
Namenska instanca – številke vrat in protokoli
Naslednje tabele opisujejo vrata in protokole, ki so podprti v namenskem primerku. Vrata, ki se uporabljajo za dano stranko, so odvisna od strankine uvedbe in rešitve. Protokoli so odvisni od strankinih preferenc (SCCP proti SIP), obstoječih naprav na mestu uporabe in stopnje varnosti, da se določi, katera vrata naj bodo uporabljena pri posamezni uvedbi.
Namenski primerek ne dovoljuje prevajanja omrežnih naslovov (NAT) med končnimi točkami in poenotenim CM, ker nekatere funkcije pretoka klica ne bodo delovale, na primer funkcija med klicem. |
Namenska instanca – vrata za stranke
Vrata, ki so na voljo strankam – med strankino lokalno in namensko instanco so prikazana v tabeli 1 Namenska vrata za stranke primerkov. Vsa spodaj navedena vrata so za promet strank, ki prečka enakovredne povezave.
Vrata SNMP so privzeto odprta samo za Cisco Emergency Responder, ki podpira njegovo delovanje. Ker ne podpiramo partnerjev ali strank, ki spremljajo aplikacije UC, nameščene v oblaku namenske instance, ne dovolimo odpiranja vrat SNMP za druge aplikacije UC. |
Vrata v območju od 5063 do 5080 je Cisco rezerviral za druge integracije v oblaku, skrbnikom partnerjev ali strank priporočamo, da teh vrat ne uporabljajo v svojih konfiguracijah. |
Protokol | TCP/UDP | Vir | Destinacija | Izvorna vrata | Ciljno pristanišče | Namen | ||
---|---|---|---|---|---|---|---|---|
SSH |
TCP |
Stranka |
UC aplikacije
|
Več kot 1023 |
22 |
Administracija |
||
TFTP |
UDP |
Končna točka |
Enoten CM |
Več kot 1023 |
69 |
Podpora za stare končne točke |
||
LDAP |
TCP |
UC aplikacije |
Zunanji imenik |
Več kot 1023 |
389 |
Sinhronizacija imenika z LDAP stranke |
||
HTTPS |
TCP |
Brskalnik |
UC aplikacije |
Več kot 1023 |
443 |
Spletni dostop za samooskrbo in administrativne vmesnike |
||
Odhodna pošta (VARNO) |
TCP |
Aplikacija UC |
CUCxn |
Več kot 1023 |
587 |
Uporablja se za sestavljanje in pošiljanje varnih sporočil katerim koli določenim prejemnikom |
||
LDAP (VARNO) |
TCP |
UC aplikacije |
Zunanji imenik |
Več kot 1023 |
636 |
Sinhronizacija imenika z LDAP stranke |
||
H323 |
TCP |
Prehod |
Enoten CM |
Več kot 1023 |
1720 |
Signalizacija klica |
||
H323 |
TCP |
Enoten CM |
Enoten CM |
Več kot 1023 |
1720 |
Signalizacija klica |
||
SCCP |
TCP |
Končna točka |
Poenoten CM, CUCxn |
Več kot 1023 |
2000 |
Signalizacija klica |
||
SCCP |
TCP |
Enoten CM |
Unified CM, Gateway |
Več kot 1023 |
2000 |
Signalizacija klica |
||
MGCP |
UDP |
Prehod |
Prehod |
Več kot 1023 |
2427 |
Signalizacija klica |
||
MGCP Backhaul |
TCP |
Prehod |
Enoten CM |
Več kot 1023 |
2428 |
Signalizacija klica |
||
SCCP (VARNO) |
TCP |
Končna točka |
Poenoten CM, CUCxn |
Več kot 1023 |
2443 |
Signalizacija klica |
||
SCCP (VARNO) |
TCP |
Enoten CM |
Unified CM, Gateway |
Več kot 1023 |
2443 |
Signalizacija klica |
||
Preverjanje zaupanja |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
2445 |
Zagotavljanje storitve preverjanja zaupanja končnim točkam |
||
CTI |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
2748 |
Povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager |
||
Varen CTI |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
2749 |
Varna povezava med aplikacijami CTI (JTAPI/TSP) in CTIManager |
||
Globalni katalog LDAP |
TCP |
UC aplikacije |
Zunanji imenik |
Več kot 1023 |
3268 |
Sinhronizacija imenika z LDAP stranke |
||
Globalni katalog LDAP |
TCP |
UC aplikacije |
Zunanji imenik |
Več kot 1023 |
3269 |
Sinhronizacija imenika z LDAP stranke |
||
Storitev CAPF |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
3804 |
Vrata za poslušanje funkcije posrednika overitelja potrdil (CAPF) za izdajanje lokalno pomembnih potrdil (LSC) telefonom IP |
||
SIP |
TCP |
Končna točka |
Poenoten CM, CUCxn |
Več kot 1023 |
5060 |
Signalizacija klica |
||
SIP |
TCP |
Enoten CM |
Unified CM, Gateway |
Več kot 1023 |
5060 |
Signalizacija klica |
||
SIP (VARNO) |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
5061 |
Signalizacija klica |
||
SIP (VARNO) |
TCP |
Enoten CM |
Unified CM, Gateway |
Več kot 1023 |
5061 |
Signalizacija klica |
||
SIP (OAUTH) |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
5090 |
Signalizacija klica |
||
XMPP |
TCP |
Odjemalec Jabber |
Cisco IM&P |
Več kot 1023 |
5222 |
Takojšnje sporočanje in prisotnost |
||
HTTP |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
6970 |
Prenos konfiguracije in slik na končne točke |
||
HTTPS |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
6971 |
Prenos konfiguracije in slik na končne točke |
||
HTTPS |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
6972 |
Prenos konfiguracije in slik na končne točke |
||
HTTP |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7080 |
Obvestila glasovne pošte |
||
HTTPS |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7443 |
Varna obvestila glasovne pošte |
||
HTTPS |
TCP |
Enoten CM |
Enoten CM |
Več kot 1023 |
7501 |
Uporablja ga Intercluster Lookup Service (ILS) za preverjanje pristnosti na podlagi potrdila |
||
HTTPS |
TCP |
Enoten CM |
Enoten CM |
Več kot 1023 |
7502 |
Uporablja ga ILS za preverjanje pristnosti na podlagi gesla |
||
IMAP |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7993 |
IMAP preko TLS |
||
HTTP |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
8080 |
URI imenika za podporo za starejše končne točke |
||
HTTPS |
TCP |
Brskalnik, končna točka |
UC aplikacije |
Več kot 1023 |
8443 |
Spletni dostop za samooskrbo in administrativne vmesnike, UDS |
||
HTTPS |
TCP |
telefon |
Enoten CM |
Več kot 1023 |
9443 |
Preverjeno iskanje stikov |
||
HTTP-ji |
TCP |
Končna točka |
Enoten CM |
Več kot 1023 |
9444 |
Funkcija upravljanja slušalk |
||
Varen RTP/SRTP |
UDP |
Enoten CM |
telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (zvok) - glasba na čakanju, javljalnik, programski konferenčni most (odprto na podlagi signalizacije klica) |
||
Varen RTP/SRTP |
UDP |
telefon |
Enoten CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (zvok) - glasba na čakanju, javljalnik, programski konferenčni most (odprto na podlagi signalizacije klica) |
||
KOBRE |
TCP |
Stranka |
CUCxn |
Več kot 1023 |
20532 |
Varnostno kopirajte in obnovite programski paket |
||
ICMP |
ICMP |
Končna točka |
UC aplikacije |
n/a |
n/a |
Ping |
||
ICMP |
ICMP |
UC aplikacije |
Končna točka |
n/a |
n/a |
Ping |
||
DNS | UDP in TCP | DNS posredovalnik |
Strežniki DNS za namenske primerke |
Več kot 1023 |
53 | Posredovalci DNS v prostoru stranke na strežnike DNS za namenske primerke. glej Zahteve DNS za več informacij. |
||
* Nekateri posebni primeri lahko uporabljajo večji obseg. |
Namenski primerek – vrata OTT
Naslednja vrata lahko stranke in partnerji uporabljajo za nastavitev mobilnega in oddaljenega dostopa (MRA):
Protokol | TCP/UCP | Vir | Destinacija | Izvorna vrata | Ciljno pristanišče | Namen |
---|---|---|---|---|---|---|
VARNI RTP/RTCP |
UDP |
hitra cesta C |
Stranka |
Več kot 1023 |
36000-59999 |
Secure Media za klice MRA in B2B |
Inter-op SIP trunk med Multitenant in Dedicated Instance (samo za trunk na podlagi registracije)
Naslednji seznam vrat mora biti dovoljen na strankinem požarnem zidu za povezovalno povezavo SIP na podlagi registracije med večnajemnikom in namenskim primerkom.
Protokol | TCP/UCP | Vir | Destinacija | Izvorna vrata | Ciljno pristanišče | Namen |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Multitenant |
Stranka |
Več kot 1023 |
8000-48198 |
Mediji iz Webex Calling Multitenant |
Namenski primerek – vrata UCCX
Naslednji seznam vrat lahko stranke in partnerji uporabljajo za konfiguracijo UCCX.
Protokol | TCP / UCP | Vir | Destinacija | Izvorna vrata | Ciljno pristanišče | Namen |
---|---|---|---|---|---|---|
SSH |
TCP |
Stranka |
UCCX |
Več kot 1023 |
22 |
SFTP in SSH |
Informix |
TCP |
Odjemalec ali strežnik |
UCCX |
Več kot 1023 |
1504 |
Vrata baze podatkov Contact Center Express |
SIP |
UDP in TCP |
Strežnik SIP GW ali MCRP |
UCCX |
Več kot 1023 |
5065 |
Komunikacija z oddaljenimi vozlišči GW in MCRP |
XMPP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
5223 |
Varna povezava XMPP med strežnikom Finesse in aplikacijami tretjih oseb po meri |
KVB |
TCP |
Stranka |
UCCX |
Več kot 1023 |
6999 |
Urejevalnik aplikacij CCX |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
7443 |
Varna povezava BOSH med strežnikom Finesse in namizji agentov in nadzornikov za komunikacijo prek HTTPS |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8080 |
Odjemalci za poročanje podatkov v živo se povežejo s strežnikom socket.IO |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8081 |
Odjemalski brskalnik poskuša dostopati do spletnega vmesnika Cisco Unified Intelligence Center |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8443 |
Skrbniški GUI, RTMT, dostop do DB preko SOAP |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8444 |
Spletni vmesnik Cisco Unified Intelligence Center |
HTTPS |
TCP |
Odjemalci brskalnika in REST |
UCCX |
Več kot 1023 |
8445 |
Varna vrata za Finesse |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8447 |
HTTPS - spletna pomoč Unified Intelligence Center |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8553 |
Komponente enotne prijave (SSO) dostopajo do tega vmesnika, da izvejo stanje delovanja Cisco IdS. |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
9080 |
Odjemalci, ki poskušajo dostopati do sprožilcev HTTP ali dokumentov / pozivov / slovnic / podatkov v živo. |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
9443 |
Varna vrata, ki se uporabljajo za odziv na odjemalce, ki poskušajo dostopati do sprožilcev HTTPS |
TCP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12014 |
To so vrata, kjer se odjemalci za poročanje podatkov v živo lahko povežejo s strežnikom socket.IO |
TCP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12015 |
To so vrata, kjer se odjemalci za poročanje podatkov v živo lahko povežejo s strežnikom socket.IO |
CTI |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12028 |
Odjemalec CTI tretje osebe za CCX |
RTP (mediji) |
TCP |
Končna točka |
UCCX |
Več kot 1023 |
Več kot 1023 |
Medijska vrata se po potrebi odprejo dinamično |
RTP (mediji) |
TCP |
Stranka |
Končna točka |
Več kot 1023 |
Več kot 1023 |
Medijska vrata se po potrebi odprejo dinamično |
Varnost strank
Zaščita Jabber in Webex s SIP OAuth
Odjemalci Jabber in Webex so overjeni prek žetona OAuth namesto lokalno pomembnega potrdila (LSC), ki ne zahteva omogočenja funkcije proxy overitelja potrdil (CAPF) (tudi za MRA). SIP OAuth, ki deluje z ali brez mešanega načina, je bil predstavljen v Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5.
V Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo ene same varnosti transportne plasti (TLS) + žeton OAuth v SIP REGISTER. Vozlišča Expressway-C uporabljajo API skrbniške spletne storitve XML (AXL), da obvestijo Cisco Unified CM o SN/SAN v svojem potrdilu. Cisco Unified CM uporablja te informacije za preverjanje potrdila Exp-C pri vzpostavljanju medsebojne povezave TLS.
SIP OAuth omogoča šifriranje medijev in signaliziranja brez potrdila končne točke (LSC).
Cisco Jabber uporablja Ephemeral vrata in varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP za prenos konfiguracijskih datotek. Vrata 6970 so nezaščitena vrata za prenos prek HTTP.
Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.
Zahteve DNS
Za namenski primerek Cisco zagotavlja FQDN za storitev v vsaki regiji v naslednji obliki <customer>.<region>.wxc-di.webex.com na primer, xyz.amer.wxc-di.webex.com.
Vrednost 'customer' zagotovi skrbnik kot del čarovnika za prvo nastavitev (FTSW). Za več informacij se obrnite na Aktivacija storitve namenskega primerka.
Zapise DNS za to FQDN mora biti mogoče razrešiti iz strankinega notranjega strežnika DNS, da podpirajo naprave na mestu uporabe, ki se povezujejo z namenskim primerkom. Za lažjo razrešitev mora stranka konfigurirati pogojni posrednik za to FQDN na svojem strežniku DNS, ki kaže na storitev DNS za namenski primerek. Storitev DNS za namenski primerek je regionalna in jo je mogoče doseči prek povezave z namenskim primerkom z uporabo naslednjih naslovov IP, kot je navedeno v spodnji tabeli. Naslov IP storitve namenskega primerka DNS.
Regija/DC | Naslov IP storitve namenskega primerka DNS | Primer pogojnega posredovanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
Možnost ping je iz varnostnih razlogov onemogočena za zgoraj omenjene naslove IP strežnika DNS. |
Dokler pogojno posredovanje ni vzpostavljeno, se naprave ne bodo mogle registrirati v namenski primerek iz notranjega omrežja stranke prek enakovrednih povezav. Pogojno posredovanje ni potrebno za registracijo prek mobilnega in oddaljenega dostopa (MRA), saj bo Cisco vnaprej zagotovil vse zahtevane zunanje zapise DNS za olajšanje MRA.
Ko uporabljate aplikacijo Webex kot klicni programski odjemalec na namenski instanci, je treba konfigurirati profil upravitelja UC v središču Control Hub za domeno glasovne storitve (VSD) vsake regije. Za več informacij se obrnite na Profili upravitelja UC v nadzornem središču Cisco Webex. Aplikacija Webex bo lahko samodejno razrešila kupčev rob hitre ceste brez posredovanja končnega uporabnika.
Domena glasovne storitve bo stranki zagotovljena kot del dokumenta za partnerski dostop, ko bo aktivacija storitve zaključena. |
Reference
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), varnostna tema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Varnostni vodnik za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html