Raspoređivanje para Expressway-C i Expressway-E omogućava pozivanje na Internet i sa njih pomoću tehnologija za trasu zaštitnogzida. Ova primena je ono što bezbedno uzima kontrolu poziva u prostorijama i povezuje je sa CiscoWebexom.

Expressway-C i Expressway-E ne zahtevaju da se bilo koji dolazni port otvori u demilitarizovanom zonom (DMZ) zaštitnom zidu zbog arhitekture trasalnog zaštitnog zida. Međutim, TCP SIP portovi za signalizaciju i UDP medijski portovi moraju biti otvoreni dolazni na Internet zaštitnom zidu da bi dolazni pozivi došli. Morate dozvoliti vreme da se odgovarajući port otvori na poslovnom zaštitnom zidu.

Arhitektura pređenog zida prikazana je u sledećem dijagramu:

Na primer, za dolazne poslovne (B2B) pozive pomoću SIP protokola, TCP portovi 5060 i 5061 (5061 se koriste za SIP TLS) moraju biti otvoreni na spoljnom zaštitnom zidu, zajedno sa UDP portovima medija koji se koriste za usluge kao što su glas, video zapisi, deljenje sadržaja, dvostruki video zapis i slično. Koji medijski portovi za otvaranje zavise od broja uporednih poziva i broja usluga.

SiP port za slušanje na Expressway-u možete da konfigurišete tako da bude bilo koja vrednost između 1024 i 65534. Istovremeno, ova vrednost i tip protokola moraju da se reklamiraju u javnim DNS SRV zapisima, a ista ta vrednost mora biti otvorena i na Internet zaštitnom zidu.

Iako je standard za SIP TCP 5060, a za SIP TLS 5061, ništa ne sprečava upotrebu različitih portova, kao što pokazuje sledeći primer.

Primer

U ovom primeru pretpostavljamo da se port 5062 koristi za dolazne SIP TLS pozive.

DNS SRV zapis za klaster dva Expressway servera izgleda ovako:

_sips._tcp. example.com SRV usluge:

prioritet = 10

težina = 10

luka = 5062

svr hostname = us-expe1.example.com

_sips._tcp. example.com SRV usluge:

prioritet = 10

težina = 10

luka = 5062

svr hostname = us-expe2.example.com

Ovi zapisi znače da su pozivi usmereni na us-expe1.example.com i us-expe2.example.com sa jednakim deljenjem opterećenja (prioritet i težina) koristeći TLS kao vrstu transporta i 5062 kao broj porta za slušanje.

Uređaj koji je spoljni za mrežu (na Internetu) i koji poziva SIP korisniku korporativnog domena (user1@example.com) mora da ispita DNS da bi razumeo koji tip transporta da koristi, broj porta, kako da učita saobraćaj i na koje SIP servere da pošalje poziv.

Ako stavka DNS-a _sipsuključuje . . ._tcp

TLS je protokol klijent-server i, u najčešćim implementacijama, koristi certifikate za potvrdu identiteta. U scenariju poslovnog poziva, TLS klijent je uređaj za pozivanje, a TLS server se zove uređaj. Pomoću TLS-a klijent proverava certifikat servera i ako provera certifikata ne uspe, prekida poziv. Klijentu nije potreban certifikat.

TLS rukovanje je prikazano u sledećem dijagramu:

Međutim, TLS specifikacija navodi da server takođe može da proveri certifikat klijenta slanjem poruke zahteva za certifikat klijentu tokom TLS protokola rukovanja. Ova poruka je korisna za vezu servera i servera, kao što je poziv koji je uspostavljen između Expressway-E i Cisco Webex oblaka. Ovaj koncept se zove TLS sa uzajamnom potvrdom identiteta i potreban je prilikom integracije sa Cisco Webexom.

I pozvane i pozvane strane proveravaju certifikat drugog ravnopravnog uređaja, kao što pokazuje sledeći dijagram:

Oblak proverava identitet Ekspresveja, a Expressway proverava identitet oblaka. Na primer, ako se identitet u oblaku u certifikatu (CN ili SAN) ne podudara sa onim što je konfigurisano na Expressway-u, veza će biti odbačena.

Ako je uključena međusobna potvrda identiteta, Expressway-E uvek zahteva certifikat klijenta. Kao rezultat toga, mobilni i daljinski pristup (MRA) neće funkcionisati, jer u većini slučajeva certifikati nisu raspoređeni na Jabber klijentima. U poslovnom scenariju, ako entitet poziva ne može da obezbedi certifikat, poziv je prekinut.

Preporučujemo da koristite vrednost koja nije 5061 za TLS sa međusobnom potvrdom identiteta, kao što je port 5062. Cisco Webex Hybrid Services koristi isti SIP TLS zapis koji se koristi za B2B. U slučaju porta 5061, neke druge usluge koje ne mogu da obezbede TLS certifikat klijenta neće funkcionisati.

Posao-posao, mobilni i daljinski pristup i Cisco Webex saobraćaj na istom Expressway paru

Pozivi za poslovanje i mobilni i daljinski pristup koriste port 5061 za SIP TLS, a Cisco Webex saobraćaj koristi port 5062 za SIP TLS sa obostranom potvrdom identiteta.

Provera vlasništva nad domenom je deo provere identiteta. Verifikacija domena je bezbednosna mera i provera identiteta koju Cisco Webex oblak primenjuje da bi dokazao da ste ono što kažete da jeste.

Provera identiteta se vrši u dve faze:

1. Provera vlasništva nad domenom. Ovaj korak uključuje tri tipa domena i to je provera jedne provere:

   • Domen e-pošte

   • Expressway-E DNS domen

   • URI domen direktorijuma

2. Provera vlasništva nad Imenom Expressway-E DNS. Ovaj korak se izvodi kroz implementaciju TLS-a uz međusobnu potvrdu identiteta i podrazumeva korišćenje javnih sertifikata i na oblaku i na Ekspresveju. Za razliku od provere identiteta domena, ovaj korak se izvršava tokom poziva koji se obavi i primi iz oblaka.

Priča koja će pokazati važnost provere vlasništva nad domenom

Cisco Webex oblak vrši proveru vlasništva nad domenom da bi primenio bezbednost. Krađa identiteta je jedna od mogućih pretnji ako se ova provera ne izvrši.

Sledeća priča detaljno opisuje šta može da se desi ako se ne izvrši provera vlasništva nad domenom.

Kompanija sa DNS domenom podešena na "hacker.com" kupuje Cisco Webex Hybrid Services. Druga kompanija, sa sopstvenim domenom podešenim na "example.com", takođe koristi hibridneusluge. Jedna od generalnih direktorka kompanije se Example.com Džejn Ro i ima direktorijum URI jane.roe@example.com.

Administrator kompanije Hacker.com od njenih korisničkih naloga za imenike da jane.roe@example.com i e-adresu na jane.roe@hacker.com. Ona to može da uradi jer oblak u ovom primeru ne proverava SIP URI domen.

Zatim se ulaћe u Cisco Webex Teams sa jane.roe@hacker.com. Pošto je vlasnica domena, verifikaciona e-pošta se čita i odgovara, i može da se prijavi. Na kraju, ona zove kolegu, John Doea, pozivanjem john.doe@example.com-a iz njene Cisco Webex Teams aplikacije. John sedi u svojoj kancelariji i vidi poziv na svom video uređaju koji dolazi iz jane.roe@example.com; to je direktorijum URI povezan sa tim email nalogom.

"Ona je u inostranstvu", misli on. "Možda će joj trebati nešto važno." Javlja se na telefon, a lažna Džejn Ro traži važna dokumenta. Ona objašnjava da joj je uređaj pokvaren, a pošto putuje, traži od njega da pošalje dokumenta na njenu privatnu imejl adresu, jane.roe@hacker.com. Na ovaj način, kompanija shvata tek kada se Džejn Ro vrati u kancelariju da su važne informacije procurele van kompanije.

Kompanija Example.com ima mnogo načina da se zaštiti od lažnih poziva koji dolaze sa interneta, ali jedna od odgovornosti Cisco Webex cloud-a je da se uveri da je identitet svakoga ko zove iz Cisco Webexa tačan i da nije falsifikovan.

Da bi proverio identitet, Cisco Webex zahteva da kompanija dokaže da poseduje domene koji se koriste u hibridnom pozivu. Ako ne uspe, neće uspeti.

Da biste obezbedili ovo vlasništvo, potrebna su dva koraka provere domena:

1. Dokaži da je kompanija vlasnik domena e-pošte, Expressway-E domena, direktorijuma URI domena.

   • Svi ti domeni moraju biti usmeravani i poznati od strane javnih DNS servera.

   • Da bi dokazao vlasništvo, DNS administrator mora da unese zapis DNS teksta (TXT). TXT zapis je vrsta zapisa resursa u DNS-u koji se koristi za obezbeđivanje mogućnosti povezivanja nekog proizvoljnog i neoblikovanog teksta sa domaćinom ili drugim imenom.

   • DNS administrator mora uneti taj TXT zapis u zonu čije vlasništvo mora biti dokazano. Nakon tog koraka, Cisco Webex oblak izvršava TXT upit za zapis za taj domen.

   • Ako je TXT upit uspešan i rezultat se podudara sa simbolom koji je generisan iz Cisco Webex oblaka, domen se proverava.

   • Kao primer, administrator mora da dokaže da poseduje domen "example.com", ako želi da Cisco Webex Hybrid Services radi na njenom domenu.

   • Kroz https://admin.webex.com, ona započinje proces verifikacije kreiranjem TXT zapisa koji odgovara simbolu koji je generisao Cisco Webex oblak:

     

   • Administrator DNS-a zatim kreira TXT zapis za ovaj domen sa vrednošću postavljenom na 123456789abcdef123456789abcdef123456789abcdef123456789abcdef, kao u sledećem primeru:

     

   • U ovom trenutku, oblak može da potvrdi da se TXT zapis za example.com podudara sa simbolom.

   • Oblak izvršava TXT DNS pronalaženje:

     

   • Pošto se TXT vrednost podudara sa vrednošću simbola, ovo podudaranje dokazuje da je administrator dodao TXT zapis za sopstveni domen javnom DNS-u i da je ona vlasnik domena.

2. Provera vlasništva nad Imenom Expressway-E DNS.

   • Oblak mora da proveri da li Expressway-E ima potvrđen identitet od jednog od autoriteta za izdavanje sertifikata kome cloud veruje. Administrator Expressway-E mora da zatraži javni sertifikat za svoj Expressway-E jednom od tih autoriteta za izdavanje sertifikata. Da bi izdao certifikat, autoritet za proveru identiteta izvršava proces provere identiteta, na osnovu provere valjanosti domena (za certifikate proverenog domena) ili provere valjanosti organizacije (za certifikate proverene organizacije).

   • Pozivi u oblak i iz oblaka zavise od certifikata koji je izdat Expressway-E. Ako certifikat nije važeći, poziv je odbačen.

Host Expressway-C konektora mora biti registrovan na Cisco Webex da bi hibridne usluge uspele.

Expressway-C je raspoređen u internoj mreži, a način na koji se registruje na oblak je putem izlazne HTTPS veze – istog tipa koji se koristi za bilo koji pregledač koji se povezuje sa Web serverom.

Registracija i komunikacija sa Cisco Webex oblakom koristi TLS. Expressway-C je TLS klijent, a Cisco Webex cloud je TLS server. Kao takav, Expressway-C proverava certifikat servera.

Autoritet za izdavanje certifikata potpisuje certifikat servera koristeći sopstveni privatni ključ. Svako ko ima javni ključ može da dešifruje taj potpis i dokaže da je isti autoritet za izdavanje certifikata potpisao taj certifikat.

Ako Expressway-C mora da proveri valjanost certifikata koji je obezbedio oblak, mora da koristi javni ključ autoriteta za izdavanje certifikata koji je potpisao taj certifikat da bi dekodirali potpis. Javni ključ se nalazi u certifikatu autoriteta za izdavanje certifikata. Da biste uspostavili poverenje kod autoriteta za izdavanje certifikata koje koristi oblak, lista certifikata ovih pouzdanih autoriteta za izdavanje certifikata mora biti u Expressway-ovom skladištu poverenja. Na taj način, Expressway može da potvrdi da poziv zaista dolazi iz Cisco Webex oblaka.

Uz ručno otpremanje, sve relevantne certifikate autoriteta za izdavanje certifikata možete otpremiti u pouzdano skladište Expressway-C.

Sa automatskim otpremanjem, sam oblak otprema te certifikate u skladište poverenja Expressway-C. Preporučujemo da koristite automatsko otpremanje. Lista certifikata može da se promeni, a automatsko otpremanje garantuje da ćete dobiti najsebičniju listu.

Ako dozvolite automatsku instalaciju certifikata autoriteta za izdavanje certifikata, bićete preusmereni https://admin.webex.com na (portal za upravljanje). Preusmeravanje obavlja sam Expressway-C bez ikakve intervencije korisnika. Vi, kao Cisco Webex administrator, morate da potvrdite identitet putem HTTPS veze. Ubrzo posle toga, oblak gura CA sertifikate na Expressway-C.

Dok se certifikati ne otpreme u Expressway-C pouzdano skladište, nije moguće uspostaviti HTTPS vezu.

Da biste izbegli ovaj problem, Expressway-C je unapred instaliran sa CiscoWebex-trusted CA certifikatima. Ti certifikati se koriste samo za podešavanje i proveru valjanosti početne HTTPS veze, a ne pojavljuju se na Expressway-C listi pouzdanih lokacija. Kada se certifikati pouzdanih autoriteta certifikata izvuku iz oblaka putem ove početne HTTPS veze, ti certifikati su dostupni za korišćenje na celoj platformi; Zatim se pojavljuju na Expressway-C listi poverenja.

Ova lista prikazuje certifikate autoriteta za izdavanje certifikata koje Cisco Webex oblak trenutno koristi. Ova lista se može promeniti u budućnosti:

• C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root

• C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root

• C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certificate Authority

• C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority - G2

• C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2

• C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Samo za ovlašćenu upotrebu, CN=thawte Primary Root CA

• C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certificate Authority

Lista certifikata autoriteta za izdavanje certifikata je takođe potrebna za Expressway-E u prelaznom paru. Expressway-E komunicira sa Cisco Webex oblakom koristeći SIP sa TLS-om, primenjen uzajamnom potvrdom identiteta. Expressway-E veruje pozivima koji dolaze i idu u oblak, samo ako se CN ili SAN certifikata koji je predstavio oblak tokom podešavanja TLS veze podudara sa imenom teme konfigurisanim za DNS zonu na Expressway ("callservice.ciscospark.com"). Autoritet za izdavanje certifikata objavljuje certifikat tek nakon provere identiteta. Mora se dokazati callservice.ciscospark.com vlasništvo nad domenom domena da bi se potpisao certifikat. Pošto mi (Cisco) posedujemo taj domen, DNS ime " callservice.ciscospark.com " je direktan dokaz dajeudaljeni vršnjak zaista CiscoWebex.

Linija spajanja kalendara integriše Cisco Webex sa programom Microsoft Exchange 2010, 2013, 2016 ili Office 365 putem naloga za imitiranje. Uloga upravljanja imitiranje aplikacija u programu Exchange omogućava aplikacijama da imitiraju korisnike u organizaciji za izvršavanje zadataka u ime korisnika. Uloga imitiranja aplikacije mora biti konfigurisana u Exchange serveru i koristi se u liniji spajanja kalendara kao deo konfiguracije Exchange servera na Expressway-C interfejsu.

Nalog za imitiranje Exchange servera je preporučeni metod korporacije Microsoft za ovaj zadatak. Administratori Expressway-C ne moraju da znaju lozinku, jer administrator Exchange servera može da unese vrednost u interfejs Expressway-C. Lozinka nije jasno prikazana, čak i ako administrator Expressway-C ima osnovni pristup Expressway-C kutiji. Lozinka je uskladištena šifrovana pomoću istog mehanizma šifrovanja akreditiva kao i druge lozinke na Expressway-C.

Radi dodatne bezbednosti, sledite korake u Vodiču za primenu Cisco Webex usluge hibridnog kalendara da biste omogućili TLS da biste obezbedili EWS veze na žici.