- Domov
- /
- Članek
Zahteve za omrežje in varnost namenske instance
Omrežne in varnostne zahteve za rešitev Dedicated Instance so večplastni pristop k lastnostim in funkcionalnostim, ki zagotavljajo varen fizični dostop, omrežje, končne točke in aplikacije Cisco UC. Opisuje omrežne zahteve ter navaja naslove, vrata in protokole, ki se uporabljajo za povezovanje končnih točk s storitvami.
Omrežne zahteve za namensko različico
Webex Calling Dedicated Instance je del portfelja Cisco Cloud Calling, ki ga poganja tehnologija za sodelovanje Cisco Unified Communications Manager (Cisco Unified CM). Namenska različica ponuja rešitve za glas, video, sporočanje in mobilnost s funkcijami in prednostmi Ciscovih telefonov IP, mobilnih naprav in namiznih odjemalcev, ki se varno povežejo z namensko različico.
Ta članek je namenjen skrbnikom omrežja, zlasti skrbnikom požarnega zidu in varnostnega posredniškega strežnika, ki želijo v svoji organizaciji uporabljati namensko različico.
Varnostni pregled: Varnost v plasteh
Dedicated Instance uporablja večplastni pristop za varnost. Sloje vključujejo:
-
Fizični dostop
-
Omrežje
-
Končne točke
-
Aplikacije UC
V naslednjih razdelkih so opisane varnostne plasti v namestitvah namenskih različic.
Fizična varnost
Pomembno je zagotoviti fizično varnost lokacij Equinix Meet-Me Room in objektov podatkovnega centra Cisco Dedicated Instance Data Center. Če je ogrožena fizična varnost, se lahko sprožijo preprosti napadi, kot je prekinitev storitev z izklopom napajanja stikal stranke. S fizičnim dostopom lahko napadalci pridobijo dostop do strežniških naprav, ponastavijo gesla in dostopajo do stikal. Fizični dostop omogoča tudi bolj zapletene napade, kot so napadi tipa man-in-the-middle, zato je druga varnostna plast, varnost omrežja, ključnega pomena.
Samokriptirajoči diski se uporabljajo v podatkovnih centrih z namenskimi instancami, ki gostijo aplikacije UC.
Več informacij o splošnih varnostnih praksah najdete v dokumentaciji na naslednjem mestu: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Varnost omrežja
Partnerji morajo zagotoviti, da so vsi omrežni elementi zavarovani v infrastrukturi namenske instance (ki se povezuje prek Equinixa). Partner je odgovoren za zagotavljanje najboljših varnostnih praks, kot so:
-
Ločeno omrežje VLAN za govor in podatke
-
Omogočite funkcijo Port Security, ki omejuje število dovoljenih naslovov MAC na vrata in preprečuje poplavljanje tabele CAM.
-
IP Source Guard pred lažnimi naslovi IP
-
Dinamični pregled ARP (DAI) preverja kršitve protokola za razreševanje naslovov (ARP) in brezplačnega ARP (GARP) (proti podtikanju ARP).
-
802.1x omejuje dostop do omrežja na avtentikacijo naprav v dodeljenih VLAN-ih (telefoni podpirajo 802.1x)
-
konfiguracija kakovosti storitev (QoS) za ustrezno označevanje govornih paketov
-
Konfiguracije vrat požarnega zidu za blokiranje drugega prometa
Varnost končnih točk
Ciscove končne točke podpirajo privzete varnostne funkcije, kot so podpisana vdelana programska oprema, varen zagon (izbrani modeli), certifikat proizvajalca (MIC) in podpisane konfiguracijske datoteke, ki končnim točkam zagotavljajo določeno raven varnosti.
Poleg tega lahko partner ali stranka omogoči dodatno varnost, kot so:
-
Šifriranje storitev telefona IP (prek protokola HTTPS) za storitve, kot je Extension Mobility.
-
izdajanje lokalno pomembnih potrdil (LSC) iz funkcije pooblaščenca overitelja (CAPF) ali javnega overitelja potrdil (CA).
-
Šifriranje konfiguracijskih datotek
-
Šifriranje medijev in signalizacije
-
Če teh nastavitev ne uporabljate, jih onemogočite: Vrata za osebni računalnik, dostop do glasovne VLAN, brezplačni ARP, spletni dostop, gumb za nastavitve, SSH, konzola
Izvajanje varnostnih mehanizmov v namenski različici preprečuje krajo identitete telefonov in strežnika Unified CM, prirejanje podatkov in prirejanje signalizacije klicev/medijskega toka.
Namenski primerek v omrežju:
-
vzpostavlja in vzdržuje overjene komunikacijske tokove.
-
digitalno podpisovanje datotek pred prenosom datoteke v telefon
-
Šifriranje medijskih tokov in signalizacije klicev med telefoni Cisco Unified IP
Privzeta varnost zagotavlja naslednje samodejne varnostne funkcije za telefone Cisco Unified IP:
-
Podpisovanje konfiguracijskih datotek telefona
-
Podpora za šifriranje konfiguracijske datoteke telefona
-
HTTPS s storitvijo Tomcat in drugimi spletnimi storitvami (MIDleti)
Pri različici Unified CM 8.0 pozneje so te varnostne funkcije privzeto zagotovljene brez zagona odjemalca CTL (Certificate Trust List).
Storitev preverjanja zaupanjaKer je v omrežju veliko število telefonov, telefoni IP pa imajo omejen pomnilnik, Cisco Unified CM deluje kot oddaljena shramba zaupanja prek storitve preverjanja zaupanja (TVS), tako da shrambe zaupanja certifikatov ni treba namestiti v vsak telefon. Telefoni Cisco IP se za preverjanje obrnejo na strežnik TVS, ker ne morejo preveriti podpisa ali potrdila prek datotek CTL ali ITL. Centralno shrambo zaupanja je lažje upravljati kot shrambo zaupanja v vsakem telefonu Cisco Unified IP.
TVS omogoča telefonom Cisco Unified IP, da med vzpostavitvijo HTTPS preverijo pristnost aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet.
Začetni seznam zaupanjaDatoteka Initial Trust List (ITL) se uporablja za začetno varnost, da lahko končne točke zaupajo sistemu Cisco Unified CM. Za ITL ni treba izrecno omogočiti nobenih varnostnih funkcij. Datoteka ITL se samodejno ustvari ob namestitvi gruče. Zasebni ključ strežnika Unified CM Trivial File Transfer Protocol (TFTP) se uporabi za podpisovanje datoteke ITL.
Ko je gruča ali strežnik Cisco Unified CM v nezavarovanem načinu, se datoteka ITL prenese na vsak podprt telefon Cisco IP. Partner si lahko vsebino datoteke ITL ogleda z ukazom CLI, admin:show itl.
Telefoni Cisco IP potrebujejo datoteko ITL za izvajanje naslednjih nalog:
-
varno komuniciranje s sistemom CAPF, kar je predpogoj za podporo šifriranja konfiguracijske datoteke.
-
Preverjanje pristnosti podpisa konfiguracijske datoteke
-
Preverjanje pristnosti aplikacijskih strežnikov, kot so storitve EM, imenik in MIDlet, med vzpostavitvijo HTTPS z uporabo TVS.
Preverjanje pristnosti naprav, datotek in signalov temelji na ustvarjanju datoteke CTL (Certificate Trust List), ki se ustvari, ko partner ali stranka namesti in konfigurira Cisco Certificate Trust List Client.
Datoteka CTL vsebuje vnose za naslednje strežnike ali varnostne žetone:
-
Varnostni žeton sistemskega administratorja (SAST)
-
storitve Cisco CallManager in Cisco TFTP, ki se izvajajo v istem strežniku
-
Funkcija posrednika organa za potrjevanje (CAPF)
-
Strežnik(-i) TFTP
-
Požarni zid ASA
Datoteka CTL vsebuje strežniško potrdilo, javni ključ, serijsko številko, podpis, ime izdajatelja, ime subjekta, funkcijo strežnika, ime DNS in naslov IP za vsak strežnik.
Zaščita telefona s funkcijo CTL omogoča naslednje funkcije:
-
Preverjanje pristnosti prenesenih datotek TFTP (konfiguracija, lokalno okolje, obročni seznam itd.) z uporabo podpisnega ključa
-
Šifriranje konfiguracijskih datotek TFTP z uporabo podpisnega ključa
-
Šifrirano signaliziranje klicev za telefone IP
-
Šifriran zvok (medij) klicev za telefone IP
Namenska različica zagotavlja registracijo končne točke in obdelavo klicev. Signalizacija med Cisco Unified CM in končnimi točkami temelji na protokolu SCCP (Secure Skinny Client Control Protocol) ali SIP (Session Initiation Protocol) in je lahko šifrirana z uporabo protokola TLS (Transport Layer Security). Mediji od končnih točk do končnih točk temeljijo na transportnem protokolu v realnem času (RTP) in so lahko tudi šifrirani z uporabo varnega protokola RTP (SRTP).
Omogočanje mešanega načina v Unified CM omogoča šifriranje signalnega in medijskega prometa od končnih točk Cisco in do njih.
Varne aplikacije UC
Omogočanje mešanega načina v namenski instanciMešani način je privzeto omogočen v namenski različici.
Omogočanje mešanega načina v namenski različici omogoča šifriranje signalnega in medijskega prometa iz končnih točk Cisco in do njih.
V izdaji Cisco Unified CM 12.5(1) je bila za odjemalce Jabber in Webex dodana nova možnost za omogočanje šifriranja signalizacije in medijev na podlagi SIP OAuth namesto mešanega načina / CTL. Zato lahko v izdaji 12.5(1) Unified CM uporabite protokola SIP OAuth in SRTP za omogočanje šifriranja signalizacije in medijev za odjemalce Jabber ali Webex. Omogočanje mešanega načina je trenutno še vedno potrebno za telefone Cisco IP in druge končne točke Cisco. V eni od prihodnjih izdaj je načrtovano dodajanje podpore za SIP OAuth v končne točke 7800/8800.
Varnost glasovnih sporočilCisco Unity Connection se poveže z Unified CM prek vrat TLS. Ko je način varnosti naprave nezavarovan, se Cisco Unity Connection poveže z Unified CM prek vrat SCCP.
Če želite konfigurirati varnost za vrata za glasovno sporočanje Unified CM in naprave Cisco Unity, ki uporabljajo SCCP, ali naprave Cisco Unity Connection, ki uporabljajo SCCP, lahko partner za vrata izbere varen način varnosti naprave. Če izberete overjena vrata glasovne pošte, se odpre povezava TLS, ki naprave overi z medsebojno izmenjavo potrdil (vsaka naprava sprejme potrdilo druge naprave). Če izberete vrata za šifrirano glasovno pošto, sistem najprej preveri pristnost naprav, nato pa med napravama pošlje šifrirane glasovne tokove.
Za več informacij o vratih za varnostno glasovno sporočanje glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Varnost za SRST, magistralna omrežja, vrata, CUBE/SBC
Cisco Unified Survivable Remote Site Telephony (SRST) omogoča omejene naloge obdelave klicev, če Cisco Unified CM na namenski instanci ne more dokončati klica.
Varni prehodi s podporo SRST vsebujejo samopodpisano potrdilo. Ko partner izvede naloge konfiguracije SRST v programu Unified CM Administration, Unified CM uporabi povezavo TLS za preverjanje pristnosti s storitvijo ponudnika potrdil v prehodu s podporo SRST. Unified CM nato prikliče potrdilo iz prehoda s podporo SRST in ga doda v zbirko podatkov Unified CM.
Ko partner v programu Unified CM Administration ponastavi odvisne naprave, strežnik TFTP doda potrdilo za prehod z omogočenim SRST v datoteko cnf.xml telefona in pošlje datoteko v telefon. Varni telefon nato uporabi povezavo TLS za interakcijo z vratom, ki podpira SRST.
Priporočljivo je, da se za klice, ki izvirajo iz sistema Cisco Unified CM do prehoda za izhodne klice PSTN ali potekajo prek Cisco Unified Border Elementa (CUBE), uporabijo varne povezave.
Trunki SIP lahko podpirajo varne klice za signalizacijo in medije; TLS zagotavlja šifriranje signalizacije, SRTP pa šifriranje medijev.
Varovanje komunikacij med Cisco Unified CM in CUBE
Za varno komunikacijo med Cisco Unified CM in CUBE morajo partnerji/odjemalci uporabljati samopodpisana potrdila ali potrdila, podpisana s strani CA.
Za samopodpisana potrdila:
-
CUBE in Cisco Unified CM ustvarjata samopodpisana potrdila
-
CUBE izvozi potrdilo v Cisco Unified CM
-
Cisco Unified CM izvozi certifikat v CUBE
Za potrdila, podpisana s CA:
-
Odjemalec ustvari par ključev in pošlje zahtevo za podpis potrdila (CSR) overitelju potrdil (CA).
-
Overitelj ga podpiše s svojim zasebnim ključem in ustvari potrdilo o identiteti.
-
Odjemalec namesti seznam zaupanja vrednih korenskih in vmesnih potrdil CA ter potrdilo identitete.
Varnost za oddaljene končne točke
Pri končnih točkah za mobilni in oddaljeni dostop (MRA) sta signalizacija in medij med končnimi točkami MRA in vozlišči Expressway vedno šifrirana. Če se za končne točke MRA uporablja protokol ICE (Interactive Connectivity Establishment), je potrebno šifriranje signalizacije in medijev končnih točk MRA. Za šifriranje signalizacije in medijev med Expressway-C in notranjimi strežniki Unified CM, notranjimi končnimi točkami ali drugimi notranjimi napravami pa je potreben mešani način ali SIP OAuth.
Cisco Expressway zagotavlja varno prečkanje požarnega zidu in linijsko podporo za registracije Unified CM. Unified CM zagotavlja nadzor klicev za mobilne in krajevne končne točke. Signalizacija poteka prek rešitve Expressway med oddaljeno končno točko in Unified CM. Mediji potujejo skozi rešitev Expressway in se neposredno prenašajo med končnimi točkami. Vsi mediji so med omrežjem Expressway-C in mobilno končno točko šifrirani.
Vsaka rešitev MRA zahteva Expressway in Unified CM z mehkimi odjemalci in/ali fiksnimi končnimi točkami, združljivimi z MRA. Rešitev lahko po želji vključuje storitev IM in prisotnost ter povezavo Unity Connection.
Povzetek protokola
Naslednja preglednica prikazuje protokole in povezane storitve, ki se uporabljajo v rešitvi Unified CM.
Protokol |
Varnost |
Storitev |
---|---|---|
SIP |
TLS |
Vzpostavitev seje: Registracija, povabilo itd. |
HTTPS |
TLS |
Prijava, zagotavljanje/konfiguracija, imenik, vizualna glasovna pošta |
Mediji |
SRTP |
Mediji: Avdio, video, souporaba vsebine |
XMPP |
TLS |
Takojšnje sporočanje, prisotnost, federacija |
Za več informacij o konfiguraciji MRA glejte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Možnosti konfiguracije
Namenska različica partnerju zagotavlja prilagodljivost za prilagajanje storitev za končne uporabnike s popolnim nadzorom konfiguracij drugega dne. Zato je partner sam odgovoren za pravilno konfiguracijo storitve namenskega primerka za okolje končnega uporabnika. To med drugim vključuje:
-
izbira varnih/nevarnih klicev, varnih/nevarnih protokolov, kot so SIP/sSIP, http/https itd., in razumevanje vseh povezanih tveganj.
-
Za vse naslove MAC, ki v namenski različici niso konfigurirani kot varni SIP, lahko napadalec pošlje sporočilo SIP Register z uporabo tega naslova MAC in opravi klice SIP, kar povzroči goljufijo pri plačilu cestnine. Napadalec lahko svojo napravo/programsko opremo SIP registrira v namenski instanci brez avtorizacije, če pozna naslov MAC naprave, registrirane v namenski instanci.
-
Za preprečevanje goljufij pri cestninjenju je treba konfigurirati politike klicev, preoblikovanje in iskalna pravila Expressway-E. Več informacij o preprečevanju goljufij pri cestninjenju z uporabo hitrih cest najdete v razdelku Varnost za hitri cesti C in Expressway-E v dokumentu Collaboration SRND.
-
Konfiguracija načrta izbiranja, s katero zagotovite, da lahko uporabniki kličejo le dovoljene destinacije, npr. prepoved nacionalnega/mednarodnega izbiranja, pravilno usmerjanje klicev v sili itd. Za več informacij o uporabi omejitev s klicnim načrtom glejte poglavje Klicni načrt v dokumentu Collaboration SRND.
Zahteve za certifikat za varne povezave v namenski instanci
Za namensko različico bo Cisco zagotovil domeno in podpisal vsa potrdila za aplikacije UC z uporabo javnega overitelja potrdil (CA).
Namenski primerek - številke vrat in protokoli
V naslednjih tabelah so opisana vrata in protokoli, ki so podprti v namenski različici. Vrata, ki se uporabljajo za določeno stranko, so odvisna od njene namestitve in rešitve. Protokoli so odvisni od preferenc stranke (SCCP ali SIP), obstoječih lokalnih naprav in stopnje varnosti, ki določajo, katera vrata se bodo uporabljala pri posamezni namestitvi.
Dedicated Instance ne omogoča prevajanja omrežnih naslovov (NAT) med končnimi točkami in Unified CM, saj nekatere funkcije pretoka klicev ne bodo delovale, na primer funkcija sredi klica.
Namenska instanca - vrata za stranke
Vrata, ki so na voljo strankam - med lokalno in namensko različico, so prikazana v preglednici 1 Vrata namenske različice za stranke. Vsa spodaj navedena vrata so namenjena prometu strank, ki prečkajo partnerske povezave.
Vrata SNMP so privzeto odprta samo za Cisco Emergency Responder, ki podpira njegovo funkcionalnost. Ker ne podpiramo partnerjev ali strank, ki spremljajo aplikacije UC, nameščene v oblaku Dedicated Instance, ne dovolimo odpiranja vrat SNMP za druge aplikacije UC.
Vrata v razponu od 5063 do 5080 je Cisco rezerviral za druge integracije v oblaku, zato skrbnikom partnerjev ali strank priporočamo, da teh vrat ne uporabljajo v svojih konfiguracijah.
Protokol |
TCP/UDP |
Vir |
Cilj |
Izvorno pristanišče |
Vrata destinacije |
Namen |
---|---|---|---|---|---|---|
SSH |
TCP |
Stranka |
Aplikacije UC Ni dovoljeno za aplikacije Cisco Expressway. |
Več kot 1023 |
22 |
Skrbništvo |
TFTP |
UDP |
Končna točka |
Unified CM |
Več kot 1023 |
69 |
Podpora za starejše končne točke |
LDAP |
TCP |
Aplikacije UC |
Zunanji imenik |
Več kot 1023 |
389 |
Sinhronizacija imenika s stranko LDAP |
HTTPS |
TCP |
Brskalnik |
Aplikacije UC |
Več kot 1023 |
443 |
Spletni dostop za samooskrbo in upravne vmesnike |
Odhodna pošta (SECURE) |
TCP |
Aplikacija UC |
CUCxn |
Več kot 1023 |
587 |
Uporablja se za sestavljanje in pošiljanje varnih sporočil določenim prejemnikom. |
LDAP (VARNO) |
TCP |
Aplikacije UC |
Zunanji imenik |
Več kot 1023 |
636 |
Sinhronizacija imenika s stranko LDAP |
H323 |
TCP |
Prehod |
Unified CM |
Več kot 1023 |
1720 |
Signalizacija klicev |
H323 |
TCP |
Unified CM |
Unified CM |
Več kot 1023 |
1720 |
Signalizacija klicev |
SCCP |
TCP |
Končna točka |
Unified CM, CUCxn |
Več kot 1023 |
2000 |
Signalizacija klicev |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Več kot 1023 |
2000 |
Signalizacija klicev |
MGCP |
UDP |
Prehod |
Prehod |
Več kot 1023 |
2427 |
Signalizacija klicev |
Povratna povezava MGCP |
TCP |
Prehod |
Unified CM |
Več kot 1023 |
2428 |
Signalizacija klicev |
SCCP (SECURE) |
TCP |
Končna točka |
Unified CM, CUCxn |
Več kot 1023 |
2443 |
Signalizacija klicev |
SCCP (SECURE) |
TCP |
Unified CM |
Unified CM, Gateway |
Več kot 1023 |
2443 |
Signalizacija klicev |
Preverjanje zaupanja |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
2445 |
Zagotavljanje storitve preverjanja zaupanja končnim točkam |
CTI |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
2748 |
Povezava med aplikacijami CTI (JTAPI/TSP) in programom CTIManager |
Varna CTI |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
2749 |
Varna povezava med aplikacijami CTI (JTAPI/TSP) in programom CTIManager |
Globalni katalog LDAP |
TCP |
Aplikacije UC |
Zunanji imenik |
Več kot 1023 |
3268 |
Sinhronizacija imenika s stranko LDAP |
Globalni katalog LDAP |
TCP |
Aplikacije UC |
Zunanji imenik |
Več kot 1023 |
3269 |
Sinhronizacija imenika s stranko LDAP |
Storitev CAPF |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
3804 |
Vrata za poslušanje funkcije posredniškega strežnika overitelja (CAPF) za izdajanje lokalno pomembnih potrdil (LSC) telefonom IP |
SIP |
TCP |
Končna točka |
Unified CM, CUCxn |
Več kot 1023 |
5060 |
Signalizacija klicev |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Več kot 1023 |
5060 |
Signalizacija klicev |
SIP (VARNO) |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
5061 |
Signalizacija klicev |
SIP (VARNO) |
TCP |
Unified CM |
Unified CM, Gateway |
Več kot 1023 |
5061 |
Signalizacija klicev |
SIP (OAUTH) |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
5090 |
Signalizacija klicev |
XMPP |
TCP |
Odjemalec Jabber |
Cisco IM&P |
Več kot 1023 |
5222 |
Takojšnje sporočanje in prisotnost |
HTTP |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
6970 |
Prenos konfiguracije in slik v končne točke |
HTTPS |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
6971 |
Prenos konfiguracije in slik v končne točke |
HTTPS |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
6972 |
Prenos konfiguracije in slik v končne točke |
HTTP |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7080 |
Obvestila glasovne pošte |
HTTPS |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7443 |
Varna obvestila o glasovni pošti |
HTTPS |
TCP |
Unified CM |
Unified CM |
Več kot 1023 |
7501 |
Uporablja storitev iskanja med gručami (ILS) za preverjanje pristnosti na podlagi potrdil. |
HTTPS |
TCP |
Unified CM |
Unified CM |
Več kot 1023 |
7502 |
Uporablja ILS za preverjanje pristnosti na podlagi gesla |
IMAP |
TCP |
Odjemalec Jabber |
CUCxn |
Več kot 1023 |
7993 |
IMAP prek TLS |
HTTP |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
8080 |
URI imenika za podporo starejših končnih točk |
HTTPS |
TCP |
Brskalnik, končna točka |
Aplikacije UC |
Več kot 1023 |
8443 |
Spletni dostop za samooskrbo in upravne vmesnike, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Več kot 1023 |
9443 |
Iskanje overjenih stikov |
HTTP-ji |
TCP |
Končna točka |
Unified CM |
Več kot 1023 |
9444 |
Funkcija upravljanja slušalk |
Varen RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Mediji (zvok) - glasba na čakanju, napovednik, programski konferenčni most (odprt na podlagi signalizacije klica) |
Varen RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Mediji (zvok) - glasba na čakanju, napovednik, programski konferenčni most (odprt na podlagi signalizacije klica) |
COBRAS |
TCP |
Stranka |
CUCxn |
Več kot 1023 |
20532 |
Varnostno kopiranje in obnavljanje paketa aplikacij |
ICMP |
ICMP |
Končna točka |
Aplikacije UC |
ni na voljo |
ni na voljo |
Ping |
ICMP |
ICMP |
Aplikacije UC |
Končna točka |
ni na voljo |
ni na voljo |
Ping |
DNS | UDP in TCP |
posredovalnik DNS |
Namenski strežniki DNS za instance |
Več kot 1023 |
53 |
posredniki DNS v prostorih stranke do namenskih strežnikov DNS. Za več informacij glejte Zahteve DNS . |
* V nekaterih posebnih primerih se lahko uporabi večji razpon. |
Namenska instanca - pristanišča OTT
Stranke in partnerji lahko za nastavitev mobilnega in oddaljenega dostopa (MRA) uporabijo naslednja vrata:
Protokol |
TCP / UCP |
Vir |
Cilj |
Izvorno pristanišče |
Vrata destinacije |
Namen |
---|---|---|---|---|---|---|
VARNO RTP/RTCP |
UDP |
Hitra cesta C |
Stranka |
Več kot 1023 |
36000-59999 |
Varni mediji za klice MRA in B2B |
Medopravilni trunk SIP med večnamenskim uporabnikom in namensko instanco (samo za trunk, ki temelji na registraciji)
V požarnem zidu stranke je treba dovoliti naslednji seznam vrat za povezovanje magistralnega omrežja SIP, ki temelji na registraciji, med večpredstavnostno in namensko različico.
Protokol |
TCP / UCP |
Vir |
Cilj |
Izvorno pristanišče |
Vrata destinacije |
Namen |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Večstransko klicanje Webex |
Stranka |
Več kot 1023 |
8000-48198 |
Mediji iz storitve Webex Calling Multitenant |
Namenska instanca - vrata UCCX
Stranke in partnerji lahko za konfiguriranje UCCX uporabijo naslednji seznam vrat.
Protokol |
TCP/UCP |
Vir |
Cilj |
Izvorno pristanišče |
Vrata destinacije |
Namen |
---|---|---|---|---|---|---|
SSH |
TCP |
Stranka |
UCCX |
Več kot 1023 |
22 |
SFTP in SSH |
Informix |
TCP |
Odjemalec ali strežnik |
UCCX |
Več kot 1023 |
1504 |
Vrata podatkovne baze Contact Center Express |
SIP |
UDP in TCP |
strežnik SIP GW ali MCRP |
UCCX |
Več kot 1023 |
5065 |
Komunikacija z oddaljenimi vozlišči GW in MCRP |
XMPP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
5223 |
Varna povezava XMPP med strežnikom Finesse in aplikacijami tretjih oseb po meri |
CVD |
TCP |
Stranka |
UCCX |
Več kot 1023 |
6999 |
Urejevalnik aplikacij CCX |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
7443 |
Varna povezava BOSH med strežnikom Finesse ter namizji agenta in nadzornika za komunikacijo prek HTTPS |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8080 |
Odjemalci za poročanje podatkov v živo se povežejo s strežnikom socket.IO |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8081 |
Odjemalski brskalnik poskuša dostopati do spletnega vmesnika Cisco Unified Intelligence Center |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8443 |
Grafični vmesnik upravitelja, RTMT, dostop do DB prek protokola SOAP |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8444 |
Spletni vmesnik Cisco Unified Intelligence Center |
HTTPS |
TCP |
Brskalnik in odjemalci REST |
UCCX |
Več kot 1023 |
8445 |
Varno pristanišče za Finesse |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8447 |
HTTPS - Spletna pomoč Unified Intelligence Center |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
8553 |
Komponente za enotno prijavo (SSO) dostopajo do tega vmesnika, da se seznanijo s stanjem delovanja sistema Cisco IdS. |
HTTP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
9080 |
Odjemalci poskušajo dostopati do sprožilcev HTTP ali dokumentov / pozivov / gramatik / podatkov v živo. |
HTTPS |
TCP |
Stranka |
UCCX |
Več kot 1023 |
9443 |
Varna vrata, ki se uporabljajo za odzivanje na odjemalce, ki poskušajo dostopati do sprožilcev HTTPS |
TCP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12014 |
To so vrata, prek katerih se lahko odjemalci za poročanje podatkov v živo povežejo s strežnikom socket.IO. |
TCP |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12015 |
To so vrata, prek katerih se lahko odjemalci za poročanje podatkov v živo povežejo s strežnikom socket.IO. |
CTI |
TCP |
Stranka |
UCCX |
Več kot 1023 |
12028 |
Odjemalec CTI tretje osebe v CCX |
RTP(Mediji) |
TCP |
Končna točka |
UCCX |
Več kot 1023 |
Več kot 1023 |
Medijska vrata se po potrebi dinamično odprejo |
RTP(Mediji) |
TCP |
Stranka |
Končna točka |
Več kot 1023 |
Več kot 1023 |
Medijska vrata se po potrebi dinamično odprejo |
Varnost strank
Varovanje Jabberja in Webexa s protokolom SIP OAuth
Odjemalci Jabber in Webex se namesto z lokalno pomembnim potrdilom (LSC) avtentificirajo z žetonom OAuth, zato ni potrebna vključitev funkcije posredovanja organa za potrdila (CAPF) (tudi za MRA). V programih Cisco Unified CM 12.5(1), Jabber 12.5 in Expressway X12.5 je bilo uvedeno delovanje SIP OAuth z mešanim načinom ali brez njega.
V programu Cisco Unified CM 12.5 imamo novo možnost v varnostnem profilu telefona, ki omogoča šifriranje brez LSC/CAPF z uporabo enega samega žetona TLS (Transport Layer Security) + OAuth v SIP REGISTER. Vozlišča Expressway-C uporabljajo vmesnik API upravne spletne storitve XML (AXL), da Cisco Unified CM obvesti o SN/SAN v svojem potrdilu. Cisco Unified CM te informacije uporabi za potrditev potrdila Exp-C pri vzpostavljanju vzajemne povezave TLS.
SIP OAuth omogoča šifriranje medijev in signalov brez potrdila končne točke (LSC).
Cisco Jabber za prenos konfiguracijskih datotek uporablja efemerna vrata ter varna vrata 6971 in 6972 prek povezave HTTPS s strežnikom TFTP. Pristanišče 6970 je nezavarovano pristanišče za prenos prek protokola HTTP.
Več podrobnosti o konfiguraciji SIP OAuth: Način SIP OAuth.
Zahteve DNS
Za namenske instance Cisco zagotavlja FQDN za storitev v vsaki regiji v naslednji obliki ..wxc-di.webex.com na primer xyz.amer.wxc-di.webex.com.
Vrednost "stranka" določi skrbnik kot del čarovnika za prvo nastavitev (FTSW). Za več informacij glejte Dedicated Instance Service Activation.
Zapisi DNS za to FQDN morajo biti razrešljivi iz strankinega notranjega strežnika DNS, da podpirajo lokalne naprave, ki se povezujejo z namensko različico. Da bi olajšali reševanje, mora stranka za to FQDN v svojem strežniku DNS konfigurirati pogojni posrednik, ki kaže na storitev DNS namenske različice. Storitev Dedicated Instance DNS je regionalna in jo je mogoče doseči prek povezave z Dedicated Instance z uporabo naslednjih naslovov IP, kot je navedeno v spodnji preglednici Dedicated Instance DNS Service IP Address.
Regija/DC | IP naslov namenske instance storitve DNS |
Primer pogojnega posredovanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
SIN |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
ZK |
<customer>.uk.wxc-di.webex.com | |
LON |
178.215.135.100 |
|
MAN |
178.215.135.228 |
Možnost ping je iz varnostnih razlogov onemogočena za zgoraj navedene naslove IP strežnika DNS.
Dokler pogojno posredovanje ne bo vzpostavljeno, se naprave ne bodo mogle registrirati v namenski instanci iz strankinega notranjega omrežja prek povezav za izmenjavo. Pogojno posredovanje ni potrebno za registracijo prek mobilnega in oddaljenega dostopa (MRA), saj bo Cisco vnaprej zagotovil vse potrebne zunanje zapise DNS za omogočanje MRA.
Če aplikacijo Webex uporabljate kot klicni programski odjemalec v namenski različici, je treba v nadzornem vozlišču konfigurirati profil UC Manager za domeno glasovnih storitev (VSD) vsake regije. Za več informacij glejte Profili upravitelja UC v kontrolnem vozlišču Cisco Webex. Aplikacija Webex bo lahko samodejno rešila strankin Expressway Edge brez posredovanja končnega uporabnika.
Domena glasovne storitve bo stranki zagotovljena kot del dokumenta o dostopu partnerja, ko bo aktivacija storitve končana.
Uporaba lokalnega usmerjevalnika za razreševanje DNS v telefonu
Za telefone, ki nimajo dostopa do korporativnih strežnikov DNS, je mogoče uporabiti lokalni usmerjevalnik Cisco za posredovanje zahtevkov DNS v namensko različico DNS v oblaku. Tako ni treba namestiti lokalnega strežnika DNS in je zagotovljena popolna podpora DNS, vključno s predpomnjenjem.
Primer konfiguracije :
!
strežnik ip dns
ip name-server
!
Uporaba DNS v tem modelu namestitve je specifična za telefone in se lahko uporablja samo za razreševanje FQDN z domeno iz strankine namenske instance.
Reference
-
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), varnostna tema: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Varnostni priročnik za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html