Nätverkskrav för Webex för myndigheter (FedRAMP)

Nätverkskrav för Webex för myndigheter (FedRAMP).

FedRAMP Webex Meetings portar och IP-intervall.

FedRAMP-möten/Webex

för myndigheters mötesportar och IP-intervall Snabbreferens
Följande IP-intervaller används av webbplatser som distribueras i FedRAMP-mötesklustret. I detta dokument kallas dessa intervall för "Webex IP-intervall":

170.133.156.0/22 (170.133.156.0 till 170.133.159.255)
207.182.160.0/21 (207.182.160.0 till 207.182.167.255)
207.182.168.0/23 (207.182.168.0 till 207.182.169.255)
207.182.176.0/22 (207.182.176.0 till 207.182.179.255)
207.182.190.0/23 (207.182.190.0 till 207.182.191.255)
216.151.130.0/24 (216.151.130.0 till 216.151.130.255)
216.151.134.0/24 (216.151.134.0 till 216.151.134.255)
216.151.135.0/25 (216.151.135.0 till 216.151.135.127)
216.151.135.240/28 (216.151.135.240 till 216.151.135.255)
216.151.138.0/24 (216.151.138.0 till 216.151.138.255)
216.151.139.0/25 (216.151.139.0 till 216.151.139.127)
216.151.139.240/28 (216.151.139.241 till 216.151.139.254)

Tjänster som distribueras på detta IP-intervall inkluderar, men inte begränsat till, följande:

Möteswebbplatsen (t.ex. customersite.webex.com)
Mötesdataservrar
Multimediaservrar för datorljud (VoIP) och webbkameravideo
XML-/API-tjänster produktivitetsverktyg schemaläggning
Nätverksbaserade inspelningsservrar (NBR)
Sekundära tjänster när primära tjänster står under underhåll eller har tekniska problem

Följande URI:er används för att kontrollera "listan över återkallade certifikat" för våra säkerhetscertifikat. Listor över återkallade certifikat för att säkerställa att inga komprometterade certifikat kan användas för att avlyssna säker Webex-trafik. Denna trafik sker på TCP-port 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdenTrust-certifikat)

Obs!
Följande UserAgents skickas vidare av Webex av utiltp-processen i Webex och ska tillåtas via en agents brandvägg:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping som en del av de tillåtna URL:erna. Den används som en del av enhetens aktiveringsprocess och "den används av enheten innan enheten vet att den är en FedRAMP-enhet. Enheten skickar bara en aktiveringskod som inte har någon FedRAMP-information, tjänsten ser att det är en FedRAMP-aktiveringskod och sedan omdirigerar den dem."

All FedRAMP-trafik krävs för att använda TLS 1.2-kryptering och mTLS 1.2-kryptering för SIP-registrerade enheter på plats:

Portar som används Webex Meeting klienter (inklusive molnregistrerade enheter)
Protocol	Portnummer	Riktning	Trafiktyp	IP-intervall	Kommentarer
TCP	80/443	Utgående till Webex	HTTP, HTTPS	Webex och AWS (rekommenderas inte att filtrera efter IP)	.webex.com .gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (Detta används för att betjäna statiskt innehåll och filer) Webex rekommenderar filtrering via URL. Om filtrering via IP-adress ska du tillåta AWS GovCloud, Cloudfront och Webex IP-intervaller
TCP/UDP	53	Utgående till lokal DNS	Domännamnstjänster (DNS)	Endast DNS-server	Används för DNS-sökning för att upptäcka Webex-servrars IP-adresser i molnet. Även om typiska DNS-sökningar görs via UDP kan vissa kräva TCP om frågesvaren inte får plats i UDP-paket.
UDP	9000, 5004/	Utgående till Webex	Primär Webex-klientmedia (VoIP och video-RTP)	Webex	Webex-klientens medieport används för att byta datorljud, webbkameravideo och innehållsdelning strömmar. För att säkerställa bästa möjliga medieupplevelse krävs det att du öppnar den här porten
TCP	5004, 443, 80	Utgående till Webex	Alternativ Webex-klientmedia (VoIP och video-RTP)	Webex	Reservportar för medieanslutning när UDP-port 9000 inte är öppen i brandväggen
UDP/TCP	Ljud: 52000 till 52049 Video: 52100 till 52199	Ingående i ditt nätverk	Webex-klientmedia (VoIP och video)	Återgå från AWS och Webex	Webex kommunicerar till destinationsporten som mottogs när klienten upprättar sin anslutning. Brandväggar bör vara konfigurerade så att de här returanslutningarna släpps igenom. Obs! Detta är aktiverat som standard.
TCP/UDP	OS-specifika tillfälliga portar	Ingående i ditt nätverk	Returtrafik från Webex	Återgå från AWS och Webex	Webex kommunicerar till destinationsporten som mottogs när klienten upprättar sin anslutning. Brandväggar bör vara konfigurerade så att de här returanslutningarna släpps igenom. Obs! detta öppnas vanligtvis automatiskt i en tillståndsfull brandvägg men anges här för fullständighet

För kunder som aktiverar Webex för myndigheter som inte kan tillåta URL-baserad filtrering för HTTPS måste du tillåta anslutning med AWS Gov Cloud West (region: us‐gov‐west‐1) och Cloud Front (tjänst: CLOUDFRONT). Läs igenom AWS-dokumentationen för att identifiera IP-intervallerna för regionen AWS Gov Cloud West och AWS Cloud Front. AWS-dokumentation finns tillgänglig Cisco Webex https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
rekommenderar starkt filtrering via URL när det är möjligt.

Cloudfront används för statiskt innehåll som levereras via Content Delivery Network för att ge kunder bästa prestanda runt om i landet.

Portar som används av lokala registrerade Cisco-videosamförekomstenheter (se Cisco Webex Meetings företagsdistributionsguide för videoenhetsaktiverade möten)
Protocol	Portnummer	Riktning	Åtkomsttyp	IP-intervall	Kommentarer
TCP	5061-5070	Utgående till Webex	SIP-signalering	Webex	Webex medie edge lyssnar på de här portarna
TCP	5061, 5065	Ingående i ditt nätverk	SIP-signalering	Webex	Ingående SIP-signaleringstrafik från Webex Cloud
TCP	5061	Ingående i ditt nätverk	SIP-signalering från molnregistrerade enheter	Aws	Inkommande samtal från Webex-appen 1:1-samtal och molnregistrerade enheter till din lokala registrerade SIP URI. *5061 är standardporten. Webex stöder 5 061–5 070 portar som ska användas av kunder enligt definition i deras SIP SRV Post
TCP/UDP	1719, 1720, 15000-19999	Både ingående och utgående	H.323 LS	Webex	Om din slutpunkt kräver gatekeeperkommunikation ska du också öppna port 1719 som innehåller Lifesize
TCP/UDP	Tillfälliga portar, 36000–59999	Både ingående och utgående	Medieportar	Webex	Om du använder en Cisco Expressway måste medieintervallen ställas in på 36000–59999. Om du använder en slutpunkt eller samtalskontroll från tredje part måste den konfigureras för att använda detta intervall
TCP	443	Utgående till lokal registrerad videoenhet	Lokal enhet Proximity	Lokalt nätverk	Webex-appen eller Webex skrivbordsprogram måste ha en IPv4-vägsväg mellan sig själv och videoenheten med HTTPS

För kunder som aktiverar Webex för myndigheter som tar emot inkommande samtal från Webex App 1:1-samtal och molnregistrerade enheter till din lokala registrerade SIP URI. Du måste också tillåta anslutning med AWS Gov Cloud West (region: us‐gov‐west‐1). Läs igenom AWS-dokumentationen för att identifiera IP-intervaller för regionen AWS Gov Cloud West. AWS-dokumentationen finns tillgänglig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html

Portar som används av Webex Edge-ljud (endast för kunder som använder Webex Edge-ljud)
Protocol	Portnummer	Riktning	Åtkomsttyp	IP-intervall	Kommentarer
TCP	5061, 5062	Ingående i ditt nätverk	SIP-signalering	Webex	Ingående SIP-signalering för Webex Edge-ljud
TCP	5061, 5065	Utgående till Webex	SIP-signalering	Webex	Utgående SIP-signalering för Webex Edge-ljud
TCP/UDP	Tillfälliga portar, 8000–59999	Ingående i ditt nätverk	Medieportar	Webex	På en företagsbrandvägg måste portar vara öppna för inkommande trafik för att Expressway ett portintervall mellan 8000 och 59999.

Se nedan för att konfigurera mTLS:

Konfigurera Expressway ömsesidig | TLS-autentisering.
Rotcertifikatutfärdare som stöds | Cisco Webex ljud- och videoplattformar.
Cisco Webex för Edge-ljud | .