Ovaj dokument se pre svega fokusira na mrežne i bezbednosne zahteve za rešenja namenske instance, uključujući slojeviti pristup funkcijama i funkcionalnost koji pružaju bezbedan fizički pristup, bezbednu mrežu, bezbedne krajnje tačke i bezbedne Cisco UC aplikacije.
Mrežni zahtevi za namensku instancu
Webex Calling namenska instanca je deo portfolija Cisco oblak Calling koju pokreće Cisco Unified Communications Manager (Cisco Unified CM) tehnologija saradnje. Namenska instanca nudi rešenja za glas, video, razmenu poruka i mobilnost sa funkcijama i prednostima Cisco IP telefona, mobilnih uređaja i klijenata na radnoj površini koji se bezbedno povezuju sa namenskim instancama.
Ovaj članak je namenjen administratorima mreže, posebno administratorima zaštitnog zida i proxy servera koji žele da koriste namensku instancu u svojoj organizaciji.
Bezbednosni pregled: Bezbednost u slojevima
Namenska instanca koristi slojeviti pristup radi bezbednosti. Slojevi obuhvataju:
Fizički pristup
Mreža
Krajnje tačke
UC aplikacije
Sledeći odeljci opisuju slojeve bezbednosti u primenama namenske instance.
Fizička bezbednost
Važno je obezbediti fizičku bezbednost lokacijama Equinix Meet-Me sobe i objektima Cisco centra za podatke namenske instance. Kada je fizička bezbednost ugrožena, mogu se pokrenuti jednostavni napadi kao što je prekidanje usluge isklj. Uz fizički pristup, napadači mogu da dobiju pristup uređajima servera, resetuju lozinke i dobiju pristup prekidača. Fizički pristup takođe olakšauje sofisticiranije napade kao što su napadi muškaraca u sredini, zbog čega je drugi nivo bezbednosti, bezbednost mreže, kritičan.
Disk jedinice sa samostalnim šifrovanjem se koriste u centrima podataka namenske instance koji hostovane UC aplikacije.
Za više informacija o opštim bezbednosnim praksama pogledajte dokumentaciju na sledećoj lokaciji: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Bezbednost mreže
Partneri moraju da osiguraju da su svi mrežni elementi zaštićeni u infrastrukturi namenske instance (koja se povezuje putem usluge Equinix). Odgovornost partnera je da osigura bezbednost najbolje prakse kao što su:
Odvoji VLAN mrežu za glas i podatke
Omogućite bezbednost porta koja ograničava broj MAC adresa dozvoljenih po portu, uključujući POPLAVE IZ CAM tabele
IP izvorni stražar protiv neoštećenih IP adresa
Dinamička ARP inspekcija (DAI) ispituje protokol rezolucije (ARP) i gratuitni ARP (GARP) za kršenje (protiv ARP-a)
802. ograničava1x mrežni pristup potvrdama identiteta uređaja na dodeljenim VLAN mrežama (telefoni podržavaju 802.1x)
Konfiguracija kvaliteta usluge (QoS) za odgovarajuće označavanje glasovnih paketa
Konfiguracije portova zaštitnog zida za blokiranje bilo kog drugog saobraćaja
Bezbednost krajnjih tačaka
Cisco krajnje tačke podržavaju podrazumevane bezbednosne funkcije kao što su potpisani firmver, bezbedno pokretanje (izabrani modeli), certifikat proizvođača instaliran (MIC) i potpisane datoteke za konfiguraciju, koje pružaju određeni nivo bezbednosti za krajnje tačke.
Pored toga, partner ili kupac mogu da omoguće dodatnu bezbednost, kao što je:
Šifrujte IP telefon usluge (putem HTTPS-a) za usluge kao što su Extension Mobility
Izdajte lokalno značajne certifikate (LSC)sa funkcija proksija sertifikacionog tela (CAPF) ili javnog autoriteta za izdavanje sertifikata (CA)
Šifruj datoteke konfiguracije
Šifrovanje medija i signaliziranje
Onemogućite ova podešavanja ako se ne koriste: PC priključak, PC Voice VLAN pristup, gratuitous ARP, veb pristup, dugme za podešavanja, SSH, konzola
Primena bezbednosnih mehanizama u namenskim instancama sprečava krađu identiteta telefona i Unified CM server, nesavršavanje podataka i nesačuvanje signala putem poziva / medijskog toka.
Namenska instanca preko mreže:
Uspostavlja i održava tok potvrđene komunikacije
Digitalno potpisivanje datoteka pre prenosa datoteke na telefon
Šifruje medijske strimove i signaliziranje poziva između Cisco Unified IP telefona
Bezbednost podrazumevano obezbeđuje sledeće automatske funkcije bezbednosti za Cisco Unified IP telefone:
Potpisivanje konfiguracija telefona datoteka
Podrška za konfiguracija telefona šifrovanju datoteka
HTTPS sa Tomcat i veb uslugama (MIDlets)
Za Unified CM izdanje 8.0 kasnije, ove bezbednosne funkcije su podrazumevano obezbeđene bez pokretanja klijenta liste pouzdanih sertifikata (CTL).
Pošto postoji veliki broj telefona na mreži i IP telefoni imaju ograničenu memoriju, Cisco Unified CM se ponaša kao skladište udaljenog pouzdanosti putem usluge verifikacije pouzdanosti (TVS) tako da skladište pouzdanih sertifikata ne mora da se postavi na svaki telefon. Server Cisco obratite se TVS serveru radi potvrde jer ne mogu da potvrde potpis ili sertifikat putem CTL ili ITL datoteka. Imati centralno skladište pouzdanosti je lakše upravljati, nego imati prodavnicu pouzdanosti na svakom Cisco Unified IP telefon.
TVS omogućava korisnicima Cisco Unified IP telefone da potvrde identitet servera aplikacije, kao što su EM usluge, direktorijum i MIDlet, tokom HTTPS uspostavljanja.
Datoteka početne pouzdane liste (ITL) se koristi za početnu bezbednost, tako da krajnje tačke mogu da veruju Cisco Unified CM. ITL ne treba da se izričito aktivira nijedna bezbednosna funkcija. ITL datoteka se automatski kreira kada se klaster instalira. Privatni ključ Unified CM Trivial File Transfer Protocol (TFTP) servera se koristi za potpisivanje ITL datoteke.
Kada se Cisco Unified CM klaster ili server ne koriste bezbedni režim, ITL datoteka se preuzima na svim podržanim Cisco IP telefon. Partner može da prikaže sadržaj ITL datoteke koristeći CLI komanda administrator:prikaži itl.
Cisco IP telefonima je potrebna ITL datoteka da bi obavili sledeće zadatke:
Bezbedno komunicirajte sa uslugom CAPF, što je preduslov za podršku datoteka sa konfiguracijom šifrovanju
Potvrda identiteta datoteka sa konfiguracijom potpisa
Potvrdite identitet servera aplikacije, kao što su EM usluge, direktorijum i MIDlet tokom HTTPS uspostavljanja pomoću TELES-a
Uređaj, datoteka i signalizacija potvrde identiteta oslanjaju se na kreiranje datoteke liste pouzdanih sertifikata (CTL) koja se kreira kada partner ili kupac instalira i konfiguriše klijent liste pouzdanih Cisco certifikata.
Ova CTL datoteka sadrži stavke za sledeće servere ili bezbednosne tokene:
Administrator za bezbednost sistema token (SAST)
Cisco CallManager i Cisco TFTP usluge koje rade na istom serveru
Certificate Authority proxy funkcije (CAPF)
TFTP server(i)
ASA zaštitni zid
Stavka CTL datoteka sadrži sertifikat servera javni ključ, serijski broj potpis, ime izdaoca, ime izdaoca, ime subjekta, funkcije servera, DNS ime i IP adresa za svaki server.
Bezbednost telefona pomoću CTL pruža sledeće funkcije:
Potvrda identiteta preuzetih datoteka (konfiguracija, lokalni standard, lista zvona itd.) pomoću ključa za potpisivanje
Šifrovanje TFTP datoteka za konfiguraciju pomoću ključa za potpisivanje
Šifrovano signalizacija poziva za IP telefone
Šifrovani zvuk poziva (mediji) za IP telefone
Namenska instanca pruža registraciju krajnje tačke i obrada poziva. Signalizacija između Cisco Unified CM i krajnjih tačaka se zasniva na bezbednim kontrolni protokol tankog klijenta (SCCP) ili Session Initiation Protocol (SIP) i može se šifrovani pomoću bezbednost transportnog sloja (TLS). Medijski sadržaj od/do krajnjih tačaka zasnovan je na Protokolu transporta u realnom vremenu (RTP) i takođe se može šifrovani pomoću bezbednog RTP (SRTP).
Omogućavanje mešovitog režima Unified CM omogućava šifrovanje signalizacije i medijski saobraćaj sa krajnjih Cisco krajnjih tačaka za sastanke.
Bezbedne UC aplikacije
Mešoviti režim podrazumevano omogućeno namenskim instancama.
Omogućavanje mešovitog režima u namenskim instancama omogućava šifrovanje signaliziranja i medijski saobraćaj od i do Cisco krajnjih tačaka.
U Cisco Unified CM izdanju 12.5(1), nova opcija za šifrovanje signaliziranja i medija na osnovu SIP OAuth umesto mešovitog režima / CTL je dodat za Jabber i Webex klijente. Stoga se u Unified CM izdanju 12.5(1), SIP OAuth i SRTP mogu koristiti za omogućavanje šifrovanja za signaliziranje i medije za Jabber ili Webex klijente. Omogućavanje mešovitog režima i dalje je potrebno za Cisco IP telefone i druge Cisco krajnje tačke u ovom trenutku. Postoji plan za dodavanje podrške za SIP OAuth u 7800/8800 krajnjim tačkama u budućnosti.
Cisco Unity Connection se povezuje Unified CM putem TLS porta. Kada režim bezbednosti uređaja nije bezbedan, Cisco Unity Connection se povezuje Unified CM putem SCCP porta.
Da biste konfigurisali bezbednost za Unified CM portove za glasovne poruke i Cisco Unity koji rade sa SCCP ili Cisco Unity Connection uređajima koji koriste SCCP, partner može da izabere bezbedan režim bezbednosti uređaja za priključak. Ako odaberete potvrdu identiteta priključak za govornu poštu, otvara se TLS veza koja potvrđuje identitet uređaja pomoću međusobne razmene sertifikata (svaki uređaj prihvata sertifikat drugog uređaja). Ako odaberete šifrovani priključak za govornu poštu, sistem prvo potvrđuje identitet uređaja, a zatim šalje šifrovane glasovne strimove između uređaja.
Za više informacija o portove za bezbednosne govorne poruke pogledajte: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Bezbednost za SRST, Trunks, Mrežni prolazi, CUBE/SBC
Mrežni prolaz Cisco omogućeni mrežni prolaz za objedinjenu oplodnju udaljene lokacije (SRST) pruža ograničene zadatke obrade poziva ako Cisco Unified CM na namenskim instancama ne može da dovrši poziv.
Bezbedni mrežni prolazi omogućeni za SRST sadrže samostalno potpisan sertifikat. Nakon što partner obavi zadatke srST konfiguracije u Unified CM Administration, Unified CM koristi TLS vezu za potvrdu identiteta pomoću usluge pružaoca sertifikata u SRST-omogućeni prolaz. Unified CM zatim preuzima sertifikat iz SRST-omogućeni prolaz i dodaje sertifikat u Unified CM bazu podataka.
Nakon što partner resetovanje zavisnih uređaja u Unified CM Administration, TFTP server dodaje SRST-omogućeni prolaz sertifikat u telefonsku cnf.xml datoteku i šalje datoteku telefonu. Bezbedni telefon zatim koristi TLS vezu za interakciju sa uređajima SRST-omogućeni prolaz.
Preporučuje se da imate bezbedne magistrale za poziv koji potiče od Cisco Unified CM do mrežnog prolaza za odlazne PSTN pozive ili prolaze kroz Cisco Unified Border Element (KOCKA).
SIP magistrale mogu da podrže bezbedne pozive kako za signaliziranje, tako i za medije; TLS pruža šifrovanje signalizatora, a SRTP obezbeđuje šifrovanje medija.
Obezbeđivanje komunikacija između Cisco Unified CM i KOCKE
Za bezbednu komunikaciju između Cisco Unified CM i KOCKE, partneri/kupci moraju da koriste sertifikate samostalno potpisan sertifikat ili certifikate potpisane pomoću CA.
Za samopotpisane sertifikate:
CUBE i Cisco Unified CM generišu samopotpisane sertifikate
CUBE izvozi sertifikat u Cisco Unified CM
Cisco Unified CM izvozi sertifikat u KOCKU
Za sertifikate koje je potpisao CA:
Klijent generiše par ključeva i šalje zahtev za potpisivanje sertifikata (CSR) na adresu Certificate Authority (CA)
CA ga potpisivanje svojim privatnim ključem, kreiranjem sertifikata identiteta
Klijent instalira listu pouzdanih CA vrhovnih i međumedijalnih sertifikata i certifikata identiteta
Bezbednost za udaljene krajnje tačke
Pomoću krajnjih tačaka za mobilni Remote Access (MRA), signalizacija i mediji su uvek šifrovani između MRA krajnjih tačaka i Expressway čvorova. Ako se protokol za uspostavljanje interaktivne povezanosti (ICE) koristi za MRA krajnje tačke, signaliziranje i šifrovanje medija krajnjih tačaka MRA. Međutim, za šifrovanje signalizacije i medija između Expressway-C i internih Unified CM servera, internih krajnjih tačaka ili drugih internih uređaja, potreban je mešoviti režim ili SIP OAuth.
Cisco Expressway pruža bezbednu podršku za prenos zaštitnog zida i podršku za linijske Unified CM registracije. Unified CM mobilne kontrola poziva i za u objektu krajnje tačke. Signalizacija prelazi Expressway rešenje između udaljene krajnje tačke i Unified CM. Mediji prelaze preko Expressway rešenja i prenose se direktno između krajnjih tačaka. Svi mediji su šifrovani između Expressway-C i mobilne krajnje tačke.
Bilo koje MRA rešenje zahteva Expressway i Unified CM softverski klijente kompatibilne sa MRA i/ili fiksnim krajnjim tačkama. Rešenje može opcionalno da uključuje razmenu trenutnih poruka i usluga prisustva i Unity vezu.
Rezime protokola
Sledeća tabela prikazuje protokole i povezane usluge koje se koriste u Unified CM rešenju.
Protokol |
Bezbednost |
Usluga |
---|---|---|
SIP |
TLS |
Ustanova sesije: Registrujte se, pozovite itd. |
HTTPS |
TLS |
Prijavite se, dodela privilegija/konfiguracija, Direktorijum, vizuelna govorna pošta |
Mediji |
SRTP |
Media: Audio, video, deljenje sadržaja |
XMPP |
TLS |
Trenutne razmena poruka, Prisustvo, federacija |
Više informacija o MRA konfiguraciji potražite u: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Opcije konfiguracije
Namenska instanca pruža partneru fleksibilnost da prilagodi usluge za krajnje korisnike putem potpune kontrole dana dve konfiguracije. Kao rezultat toga, partner je samo odgovoran za odgovarajuću konfiguraciju usluge namenske instance za krajnji korisnik okruženje korisnika. To uključuje, ali nije ograničeno na:
Ako izaberete bezbedne/nebezbrisne pozive, bezbedni/nesigurni protokoli kao što su SIP/sSIP, http/https itd.
Za sve MAC adrese koje nisu konfigurisane kao bezbedni SIP u namenskim instancama, napadač može da pošalje poruku SIP registra koristeći taj MAC adresa i može da upućuje SIP pozive, što bi rezultiralo prevarom sa naplatom poziva. Preduslov je da napadač može da registruje svoj SIP uređaj/softver na namensku instancu bez ovlašćenja ako zna MAC adresa uređaja registrovanog u namenoj instanci.
Politike poziva Expressway-E, transformisanje i pretraga treba da budu konfigurisani da bi se sprečila prevara sa naplatom poziva. Za više informacija o sprečavanju prevare sa naplatom poziva koristeći Expressway potražite u odeljku Bezbednost za Expressway C i Expressway-E odeljka Collaboration SRND.
Konfiguracija plana biranja kako bi se osigurala da korisnici mogu da biraju samo odredišta koja su dozvoljena, npr. zabranjeno nacionalno/međunarodno biranje, hitni pozivi se pravilno usmeravanje itd. Za više informacija o primeni ograničenja pomoću plana biranja pogledajte odeljak Plan biranja usluge Collaboration SRND.
Zahtevi za sertifikat za bezbedne veze u namenskim instancama
Za namensku instancu, Cisco će obezbediti domen i potpisati sve sertifikate za UC aplikacije koristeći javni Certificate Authority (CA).
Namenska instanca – brojevi porta i protokoli
Sledeće tabele opisuju portove i protokole koji su podržani u namenskim instancama. Portovi koji se koriste za datog kupca zavise od primene i rešenja kupca. Protokoli zavise od željenih opcija kupca (SCCP vs SIP), postojećih u objektu uređaja i nivoa bezbednosti da bi se utvrdili koji portovi se koriste u svakoj primeni.
Namenska instanca ne dozvoljava prevod mrežnih adresa (NAT) između krajnjih tačaka i Unified CM jer neke od funkcija toka poziva neće funkcionisati, na primer funkcija tokom poziva. |
Namenska instanca – portovi kupca
Portovi dostupni kupcima – između prozora kupca u objektu i namenske instance prikazani su u portove kupaca namenske instance iz tabele 1. Svi dole navedeni portovi su za saobraćaj kupca koji prelaže ravnoplasne veze.
SNMP port je podržan samo za CER funkcionalnost, a ne i za bilo koje druge alatke za nadgledanje trećih strana. |
Portovi u opsegu 5063 do 5080 rezervišu se Cisco za druge integracije u oblaku, partner ili administratori kupaca preporučuju da ne koriste ove portove u njihovim konfiguracijama. |
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UC aplikacije |
Više od 1023 |
22 |
Administracija |
TFTP |
UDP |
Krajnja tačka |
Unified CM |
Više od 1023 |
69 |
Podrška zastarela krajnja tačka |
LDAP |
TCP |
UC aplikacije |
Spoljni imenik |
Više od 1023 |
389 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
HTTPS |
TCP |
Pregledač |
UC aplikacije |
Više od 1023 |
443 |
veb za self-Care i administrativne interfejse |
Odlazna pošta (BEZBEDNA) |
TCP |
UC aplikacija |
CUCxn |
Više od 1023 |
587 |
Koristi se za sačinjavanje i slanje bezbednih poruka svim određenim primaocima |
LDAP (BEZBEDAN) |
TCP |
UC aplikacije |
Spoljni imenik |
Više od 1023 |
636 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
H323 |
TCP |
Prolaz |
Unified CM |
Više od 1023 |
1720 |
Signalizacija poziva |
H323 |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
1720 |
Signalizacija poziva |
SCCP |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
2000 |
Signalizacija poziva |
SCCP |
TCP |
Unified CM |
Unified CM, Mrežni prolaz |
Više od 1023 |
2000 |
Signalizacija poziva |
MGCP |
UDP |
Prolaz |
Prolaz |
Više od 1023 |
2427 |
Signalizacija poziva |
MGCP Blackhaul |
TCP |
Prolaz |
Unified CM |
Više od 1023 |
2428 |
Signalizacija poziva |
SCCP (BEZBEDNO) |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
2443 |
Signalizacija poziva |
SCCP (BEZBEDNO) |
TCP |
Unified CM |
Unified CM, Mrežni prolaz |
Više od 1023 |
2443 |
Signalizacija poziva |
Potvrda pouzdanosti |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2445 |
Obezbeđivanje usluge verifikacije pouzdanosti krajnjim tačkama |
CTI |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2748 |
Veza između CTI aplikacija (JTAPI/TSP) i CTIManager |
Bezbedan CTI |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
2749 |
Bezbedna veza između CTI aplikacija (JTAPI/TSP) i CTIManager |
LDAP globalni katalog |
TCP |
UC aplikacije |
Spoljni imenik |
Više od 1023 |
3268 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
LDAP globalni katalog |
TCP |
UC aplikacije |
Spoljni imenik |
Više od 1023 |
3269 |
Sinhronizacija direktorijuma sa LDAP-om kupca |
CAPF usluga |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
3804 |
Certificate Authority proxy funkcije (CAPF) port za izdavanje lokalno važnih certifikata (LSC) na IP telefone |
SIP |
TCP |
Krajnja tačka |
Unified CM, CUCxn |
Više od 1023 |
5060 |
Signalizacija poziva |
SIP |
TCP |
Unified CM |
Unified CM, Mrežni prolaz |
Više od 1023 |
5060 |
Signalizacija poziva |
SIP (BEZBEDAN) |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
5061 |
Signalizacija poziva |
SIP (BEZBEDAN) |
TCP |
Unified CM |
Unified CM, Mrežni prolaz |
Više od 1023 |
5061 |
Signalizacija poziva |
SIP (OAUTH) |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
5090 |
Signalizacija poziva |
XMPP |
TCP |
Jabber klijent |
Cisco IM&P |
Više od 1023 |
5222 |
Trenutne razmena poruka i prisustva |
HTTP |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6970 |
Preuzimanje konfiguracije i slika na krajnje tačke |
HTTPS |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6971 |
Preuzimanje konfiguracije i slika na krajnje tačke |
HTTPS |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
6972 |
Preuzimanje konfiguracije i slika na krajnje tačke |
HTTP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7080 |
Obaveštenja putem govorne pošte |
HTTPS |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7443 |
Bezbedna obaveštenja putem govorne pošte |
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7501 |
Koristi Intercluster Lookup Service (ILS) za potvrdu identiteta zasnovanu na sertifikatu |
HTTPS |
TCP |
Unified CM |
Unified CM |
Više od 1023 |
7502 |
Koristi ILS za potvrdu identiteta zasnovanu na lozinki |
IMAP |
TCP |
Jabber klijent |
CUCxn |
Više od 1023 |
7993 |
IMAP preko TLS-a |
HTTP |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
8080 |
URI direktorijuma za podršku zastarele krajnje tačke |
HTTPS |
TCP |
Pregledač, krajnja tačka |
UC aplikacije |
Više od 1023 |
8443 |
veb za self-Care i administrativne interfejse, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Više od 1023 |
9443 |
Pretraga kontakata potvrđenog identiteta |
STTP-ovi |
TCP |
Krajnja tačka |
Unified CM |
Više od 1023 |
9444 |
Funkcija upravljanja slušalicama |
Bezbedni RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 do 32767 * |
16384 do 32767 * |
Medij (audio) – muzika na čekanju, Anunciator, softverski most konferencijski most (otvoreno na osnovu signaliziranja poziva) |
Bezbedni RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 do 32767 * |
16384 do 32767 * |
Medij (audio) – muzika na čekanju, Anunciator, softverski most konferencijski most (otvoreno na osnovu signaliziranja poziva) |
KOBRAS |
TCP |
Klijent |
CUCxn |
Više od 1023 |
20532 |
Paket aplikacija za rezervne kopije i vraćanje u prethodno stanje |
ICMP |
ICMP |
Krajnja tačka |
UC aplikacije |
n. p. |
n. p. |
Ping |
ICMP |
ICMP |
UC aplikacije |
Krajnja tačka |
n. p. |
n. p. |
Ping |
* Određene specijalne slučajeve mogu da koriste veći opseg. |
Namenska instanca – OTT portovi
Sledeći port mogu koristiti kupci i partneri za mobilne uređaje i Remote Access (MRA) podešavanje:
Protokol |
TCP/UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
BEZBEDNI RTP/RTCP |
UDP |
Expressway C |
Klijent |
Više od 1023 |
36000-59999 |
Bezbedni mediji za mrA i B2B pozive |
Namenska instanca – UCCX portovi
Kupci i partneri mogu da koriste sledeću listu portova za konfigurisanje UCCX-a.
Protokol |
TCP / UCP |
Izvor |
Odredište |
Izvorni port |
Odredišni port |
Svrha |
---|---|---|---|---|---|---|
SSH |
TCP |
Klijent |
UCCX |
Više od 1023 |
22 |
SFTP i SSH |
Informis |
TCP |
Klijent ili server |
UCCX |
Više od 1023 |
1504 |
Unified CCX priključka baze podataka |
SIP |
UDP i TCP |
SIP GW ili MCRP server |
UCCX |
Više od 1023 |
5065 |
Komunikacija sa udaljenim GW i MCRP čvorovima |
XMPP |
TCP |
Klijent |
UCCX |
Više od 1023 |
5223 |
Bezbedna XMPP veza između Finesse servera i prilagođenih aplikacija trećih lica |
CVD |
TCP |
Klijent |
UCCX |
Više od 1023 |
6999 |
Uređivač u CCX aplikacije |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
7443 |
Bezbedna BOSH veza između Finesse servera i agenta i supervizora za komunikaciju preko HTTPS-a |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8080 |
Klijenti za izveštavanje uživo povezuju se na utičnicu. IO server |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8081 |
Pregledač klijenta koji pokušava da pristupi Cisco Unified Intelligence Center veb interfejs |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
8443 |
Administratorski grafički interfejs, RTMT, DB pristup putem SOAP |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8444 |
Cisco Unified Intelligence Center veb interfejs |
HTTPS |
TCP |
Pregledač i REST klijenti |
UCCX |
Više od 1023 |
8445 |
Bezbedan port za Finesse |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8447 |
HTTPS – Unified Intelligence Center pomoć na mreži |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
8553 |
Komponente jedinstvene prijave (SSO) pristupaju ovom interfejsu da bi znale operativni status Cisco IDS-a. |
HTTP |
TCP |
Klijent |
UCCX |
Više od 1023 |
9080 |
Klijenti koji pokušavaju da pristupe HTTP okidaču ili dokumentima / upitima / gramatici / podaci uživo. |
HTTPS |
TCP |
Klijent |
UCCX |
Više od 1023 |
9443 |
Bezbedan port koji se koristi za odgovor klijentima koji pokušavaju da pristupe HTTPS okidaču |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12014 |
Ovo je port na koji klijenti za izveštavanje uživo mogu da se povežu na utičnicu. IO server |
TCP |
TCP |
Klijent |
UCCX |
Više od 1023 |
12015 |
Ovo je port na koji klijenti za izveštavanje uživo mogu da se povežu na utičnicu. IO server |
CTI |
TCP |
Klijent |
UCCX |
Više od 1023 |
12028 |
CTI klijent treće strane za CCX |
RTP (mediji) |
TCP |
Krajnja tačka |
UCCX |
Više od 1023 |
Više od 1023 |
Port medija se dinamički otvara po potrebi |
RTP (mediji) |
TCP |
Klijent |
Krajnja tačka |
Više od 1023 |
Više od 1023 |
Port medija se dinamički otvara po potrebi |
Bezbednost klijenta
Obezbeđivanje Jabber i Webex SIP OAuth
Jabber i Webex klijenti potvrđuju identitet pomoću OAuth tokena umesto datoteke lokalno značajan sertifikat (LSC), koja ne zahteva omogućavanje funkcija proksija sertifikacionog tela (CAPF) (i za MRA). SIP OAuth rad sa ili bez mešovitog režima je uveden u Cisco Unified CM 12.5(1), Jabber 12.5 i Expressway X12.5.
U Cisco Unified CM 12.5 imamo novu opciju u profilu bezbednosti telefona koja omogućava šifrovanje bez LSC/CAPF, koristeći pojedinačni bezbednost transportnog sloja (TLS) + OAuth token u SIP REGISTRU. Expressway-C čvorovi koriste API za veb administratorske XML veb (AXL) da bi Cisco Unified CM O SN/SAN u svom sertifikatu. Cisco Unified CM koristi ove informacije za proveru valjanosti Exp-C sertifikata prilikom uspostavljanja međusobne TLS veze.
SIP OAuth omogućava šifrovanje medija i signalizatora bez sertifikata krajnje tačke (LSC).
Cisco Jabber koristi Ephemeral portove i bezbedne portove 6971 i 6972 preko HTTPS veze sa TFTP serverom da bi preuzeo datoteke za konfiguraciju. Port 6970 je nesigurni port za preuzimanje putem HTTP-a.
Više detalja o SIP OAuth konfiguraciji: SIP OAuth režim.
DNS zahtevi
Za ime namenske instance Cisco FQDN za uslugu u svakom regionu sa sledećim formatom <customer>.<region>. wxc-di.webex.com, na primer, xyz.amer.wxc-di.webex.com.
Vrednost "kupac" pruža administrator kao deo grupe čarobnjak za prvo podešavanje (FTSW). Za više informacija pogledajte aktiviranje usluge namenske instance.
DNS zapisi za ovaj FQDN moraju da se reše iz internog DNS server kupca da bi podržali lokalne uređaje koji se povezuju sa namenskim instancama. Da bi olakšao rezoluciju, klijent treba da konfiguriše uslovni prosleđivač za ovaj FQDN, na DNS server koji upućuje na DNS uslugu namenske instance. DNS usluga namenske instance je regionalna i može se dostići pomoću ravnoplovne datoteke na namensku instancu koristeći sledeće IP adrese kao što je navedeno u donjoj tabeli IP adresu usluge namenske instance DNS.
Region/DC |
IP adresa usluge DNS-a namenske instance | Primer uslovnog prosleđivanja |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
Evropska unija |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
GREH |
103.232.71.100 |
|
TKI |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
SID |
178.215.128.228 |
Ping opcija je onemogućena za gore pomenute DNS server IP adrese iz bezbednosnih razloga. |
Dok se uslovno prosleđivanje ne pokrene, uređaji neće moći da se registruju u namensku instancu iz interne mreže kupaca putem ravnopmernih veza. Uslovno prosleđivanje nije potrebno za registraciju putem mobilnog telefona i usluge Remote Access (MRA), jer će sve potrebne spoljne DNS zapise za olakšavanje MRA unapred dodeliti privilegije Cisco.
Kada koristite aplikaciju Webex za pozivanje softverskog klijenta na namenskim instancama, profil za UC Manager mora da se konfiguriše na platformi Control Hub za domen glasovne usluge svakog regiona (VSD). Za više informacija pogledajte Profile za UC Manager u Cisco Webex Control Hub. Aplikacija Webex moći automatski da reši Expressway Edge kupca bez ikakve krajnji korisnik intervencije.
Domen glasovne usluge biće dodeljen kupcu u sklopu dokumenta o pristupu partnerima kada se završi aktivacija usluge. |
Reference
Cisco collaboration 12.x Solution Reference Network Designs (SRND), tema bezbednosti: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
uputstvo za bezbednost za Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html