- Početak
- /
- Članak
Bezbednosni zahtevi za Webex Calling
U ovom člankuOvaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy servera koji žele da koriste Webex Calling u okviru svoje organizacije.
Da biste videli referentne informacije porta u pogledu zahteva za zaštitni zid i za pristup, pogledajte članak Referentne informacije o portu za Cisco Webex Calling.
Zahtevi za krajnje tačke
Webex Calling Edge
Da biste izvršili SIP registraciju ili poziv, ispunite ove korake:
-
Otkrijte adresu hosta SIP krajnje tačke za aktivne Edge čvorove.
-
Ispunite sve preduslove povezane sa konfiguracijom korisnika i uređaja.
-
Uverite se da krajnja tačka ima mogućnost povezivanja na javnu mrežu kako biste pokrenuli otkrivanje usluga.
-
Ispunite preduslove za obezbeđivanje krajnje tačke pomoću konfiguracije specifične za region ili konfiguracije dodele privilegija za centar podataka. Ova konfiguracija olakšava pribavljanje relevantnog sufiksa imena domena za otkrivanje usluga.
IPv4 nasuprot IPv6
Uređaji mogu da rade u režimu jedne verzije ili dvojnog steka. Konfiguracija režima koja određuje promene željenog protokola i ove promene nisu deo otkrivanja usluge.
-
Režim jednog steka – omogućava samo jedan IP protokol (na primer, IPv4) i zanemaruje druge adrese protokola.
-
Režim dvojnog steka – bira željenu IP verziju putem konfiguracije.
Klijent smatra da je prioritet svih željenih adresa manji (to jest, poželjno je) od svih adresa IP-a. Ako je poželjan protokol IPv4, pokušava se sa svakom IPv4 adresom pre IPv6 adresa. Ako sve adrese ne uspeju, ciklus počinje ponovo sa željenom adresom protokola najnižeg prioriteta.
Mobilni klijent koji se registruje po prijemu push obaveštenja može da odluči da optimizuje režim na osnovu prethodnih registracija.
Razrešavanje adrese hosta iz DNS SRV adrese
Indikator domena u datoteci konfiguracije krajnje tačke, dobijenoj tokom dodele privilegija, određuje ime domena kojim se otkriva usluga edge pristupa. Primer imena domena je:
wxc.edge.bcld.webex.comU primeru, krajnja tačka koja izvršava DNS SRV za ovaj domen može da dâ odgovor sličan sledećem:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp. wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips.. .. Ja sam samo р_tcp wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. Ja sam Samo bcld.webex.com. U ovom slučaju, SRV zapis pokazuje na 3 A zapis.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com U primeru, pokazuje se da svaki host kontaktira sa portom 5061 sa različitom težinom i prioritetom.
Uzmite u obzir ove zahteve za krajnje tačke.
-
Krajnja tačka
_sipsmora da koristi ._tcp(kombinaciju usluge i protokola) kao prefiks za obavljanje DNS SRV za pribavljanje adrese organizatora za pokretanje komunikacije zasnovane TLS na TLS. -
Krajnja tačka mora da izvrši DNS SRV pretragu uslova objašnjenih u odeljku Razrešavanje adrese hosta iz DNS SRV adrese.
-
Krajnja tačka mora da ispuni uslove za host, port, težinu i prioritet kao što je navedeno za svaku adresu organizatora. Takođe, tokom SIP registracije mora da se kreira povezanost organizatora za prenos porta.
-
Kriterijumi izbora hostova na osnovu prioriteta i težine, specifični za upotrebu ovog DNS SRV zapisa, objašnjeni su u RFC 2782.
Zahtevi za SIP i medije
|
Uslov |
Opis |
|---|---|
|
Sertifikat pouzdanosti potreban za šifrovanje javnog ključa |
Pogledajte članak da biste se informisali o organu za izdavanje sertifikata za Webex i Root CA potrebnom na uređajima |
|
TLS verzija podržana za bezbedan SIP |
TLS 1.2 |
|
TLS šifrovanje podržano za bezbedan SIP |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
SRTP ključevi podržani za bezbedne medije |
AES_CM_128_HMAC_SHA1_80 |
Zahtevi za bezbedni SIP sa mTLS-om (međusobni TLS)
Zahtevi su detaljno objašnjeni ovde.
Potpisani sertifikat je potreban za uspešnu autorizaciju i potvrdu identiteta poziva sa prenosnika. Sertifikat mora da ispunjava sledeće uslove:
-
Sertifikat mora da potpiše CA koji je pomenut u Koji organi za vrhovne sertifikate su podržani za Cisco Webex audio i video platforme?
-
Otpremiti paket pouzdanosti koji je pomenut u koji organi za vrhovne sertifikate su podržani za pozive na Cisco Webex audio i video platforme? na KOCKU.
-
Sertifikat treba da važi uvek:
-
Potpisani sertifikati moraju uvek imati važeći istek važenja.
-
Vrhovni ili posredni sertifikati moraju da imaju važeći istek važenja i ne smeju se opozvati.
-
Sertifikati moraju biti potpisani za upotrebu klijenta i servera.
-
Sertifikati moraju da sadrže potpuno kvalifikovano ime domena (FQDN) kao zajedničko ime ili alternativno ime subjekta u sertifikatu sa FQDN-om izabranim na portalu Control Hub. Na primer:
-
Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com:5061 kao FQDN-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata.
-
Prenosnik konfigurisan na portalu Control Hub vaše organizacije sa domenom london.lgw.cisco.com kao SRV-om mora da sadrži london.lgw.cisco.com u CN-u ili SAN-u sertifikata. Zapisi u koje se SRV adresa razrešava (CNAME/A zapis/ IP adresa) su opcionalni u SAN-u.
-
-
Možete da delite sertifikate sa više od jednog lokalnog mrežnog prolaza, međutim, uverite se da su FQDN zahtevi zadovoljeni.
-
Van opsega
Ovaj članak ne sadrži sledeće informacije vezane za bezbednost mreže:
-
F5 zahtevi za CA i šifrovanje
-
API zasnovan na HTTP-u za preuzimanje pravila zaštitnog zida za Webex.
-
API za paket pouzdanosti
-
Zahtevi za zaštitni zid i ALG onemogućavanje
