- Start
- /
- Artikel
Dedikerade nätverks- och säkerhetskrav för instans
Nätverks- och säkerhetskrav för Dedicated Instance-lösningen är den lagrade metoden för de funktioner och funktioner som ger säker fysisk åtkomst, nätverk, slutpunkter och Cisco UC-program. Den beskriver nätverkskraven och listar de adresser, portar och protokoll som används för att ansluta dina slutpunkter till tjänsterna.
Nätverkskrav för dedikerad instans
Webex Calling Dedicated Instance ingår i Cisco Cloud Calling-portföljen som drivs av samarbetstekniken Cisco Unified Communications Manager (Cisco Unified CM). Dedikerad instans erbjuder röst-, video-, meddelande- och rörlighetslösningar med funktionerna och fördelarna med Cisco IP-telefoner, mobila enheter och skrivbordsklienter som ansluter säkert till den dedikerade instansen.
Den här artikeln riktar sig till nätverksadministratörer, i synnerhet till brandväggs- och proxysäkerhetsadministratörer som vill använda dedikerade instanser inom sin organisation.
Säkerhetsöversikt: Säkerhet i lager
Dedikerade instans använder en lagrard metod för säkerhet. Lagerskikten inkluderar:
-
Fysisk åtkomst
-
Nätverk
-
Slutpunkter
-
UC-program
Följande avsnitt beskriver säkerhetsskikten i dedikerade instansdistributioner .
Fysisk säkerhet
Det är viktigt att fysisk säkerhet erbjuds till Equinix Meet-Me-rum-platser och cisco dedikerade instansdatacenters platser. När fysisk säkerhet komprometteras kan enkla avbrott såsom tjänsteavbrott genom att stänga av ström till en kunds växlingar startas. Med fysisk åtkomst kan angripare få åtkomst till serverenheter, återställa lösenord och få åtkomst till växlar. Fysisk åtkomst underlättar också mer sofistikerat, som "man-in-the-middle" och det är därför det andra säkerhetslagret, nätverkets säkerhet, är kritisk.
Självkrypteringsenheter används i dedikerade instansdatacenter som är värd för UC-program.
Mer information om allmänna säkerhetsrutiner finns i dokumentationen på följande plats: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Nätverkssäkerhet
Partner måste säkerställa att alla nätverkselement är säkra i dedikerad instansinfrastruktur (som ansluter via Equinix). Det är partners ansvar att säkerställa bästa säkerhetspraxis såsom:
-
Separera VLAN för röst och data
-
Aktivera portsäkerhet, vilket begränsar antalet MAC-adresser som tillåts per port, mot CAM-tabellen och
-
IP-källskydd mot falska IP-adresser
-
Dynamisk ARP-kontroll (DAI) undersöker adresseringsprotokoll (ARP) och gratuitous ARP (GARP) för överträdelser (mot ARP-förfalskning)
-
802. begränsar1x nätverksåtkomsten till autentiserade enheter på tilldelade EN-ett-nummer (telefoner har stöd för 802.1x)
-
Konfiguration av tjänstekvalitet (QoS) för lämplig märkning av röstpaket
-
Konfigurationer av brandväggsportar för att blockera all annan trafik
Säkerhet för slutpunkter
Cisco-slutpunkter stöder standardfunktioner för säkerhetsfunktioner som signerad inbyggd programvara, säker uppstart (valda modeller), tillverkarens installerade certifikat (MIC) och signerade konfigurationsfiler, vilket ger en viss säkerhetsnivå för slutpunkter.
Dessutom kan en partner eller kund aktivera ytterligare säkerhet, såsom:
-
Kryptera IP-telefontjänster (via HTTPS) för tjänster som Extension Mobility
-
Utfärda lokalt viktiga certifikat (LSCs) från certifikatutfärdarens proxyfunktion (CAPF) eller en offentlig certifikatutfärdare (CA)
-
Kryptera konfigureringsfiler
-
Kryptera media och signalering
-
Inaktivera dessa inställningar om de inte används: PC-port, PC Voice VLAN Access, Gratuitous ARP, Webbåtkomst, Inställningsknapp, SSH, konsol
Genom att implementera säkerhetsmekanismer i Dedikerade instans förhindras identitetsstöld av telefoner och Unified CM-servern, manipulering av data och manipulering av data och manipulering av samtal/mediaströmning.
Dedikerad instans över nätverket:
-
Etablerar och underhåller autentiserade kommunikationsströmmar
-
Signerar filer digitalt innan du överför filen till telefonen
-
Krypterar medieströmmar och samtalssignalering mellan IP Cisco Unified telefoner
Säkerhet som standard innehåller följande automatiska säkerhetsfunktioner för Cisco Unified IP-telefoner:
-
Signera telefonkonfigurationsfilerna
-
Stöd för filkryptering av telefonkonfiguration
-
HTTPS med Tomcat och andra webbtjänster (MIDcat)
För Unified CM-version 8.0 senare tillhandahålls dessa säkerhetsfunktioner som standard utan att köra klienten för certifikatsäkerhetslista (CTL).
Verifieringstjänst för förtroendeEftersom det finns många telefoner i ett nätverk och IP-telefoner har begränsat minne kan Cisco Unified CM agera som en betrodd fjärrlagring via Trust Verification Service (TVS) så att ett certifikats betrodda arkiv inte behöver placeras på varje telefon. Cisco IP-telefoner kontaktar TVS-servern för verifiering eftersom de inte kan verifiera en signatur eller ett certifikat via CTL- eller ITL-filer. Att ha en central betrodd lagring är enklare att hantera än att ha den betrodda lagringen på varje Cisco Unified IP-telefon.
TVS gör det Cisco Unified för IP-telefoner att autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS-arkivet.
Initial lista över betrodda certifikatFilen med den första betrodda listan (ITL) används för initial säkerhet så att slutpunkterna kan lita på Cisco Unified CM. DET kräver inte att några säkerhetsfunktioner uttryckligen aktiveras. ITL-filen skapas automatiskt när klustret installeras. Unified CM Trivial File Transfer Protocol-serverns (TFTP) privata nyckel används för att signera ITL-filen.
När servern Cisco Unified CM-kluster eller -server är i icke-säkert läge hämtas ITL-filen på alla Cisco IP-telefoner som stöds. En partner kan visa innehållet i en ITL-fil med kommandot CLI, admin:show itl.
Cisco IP-telefoner behöver ITL-filen för att utföra följande åtgärder:
-
Kommunicera säkert med CAPF, ett förhandskrav för att stödja konfigurationsfilkryptering
-
Verifiera konfigurationsfilens signatur
-
Autentisera programservrar som EM-tjänster, katalog och MIDlet under HTTPS förtjänst med hjälp av TVS
Enhet, fil och signaleringsautentisering förlitar sig på att en CTL-fil (Certificate Trust List, CTL) skapas när partnern eller kunden installerar och konfigurerar klienten för betrodda certifikat.
CTL-filen innehåller poster för följande servrar eller säkerhetstoken:
-
Säkerhetstoken för systemadministratör (SAST)
-
Cisco CallManager- och Cisco TFTP-tjänster som körs på samma server
-
Proxyfunktion för certifikatutfärdare (CAPF)
-
TFTP-server(er)
-
ASA-brandvägg
CTL-filen innehåller ett servercertifikat, offentlig nyckel, serienummer, signatur, utfärdarens namn, ämnesnamn, serverfunktion, DNS-namn och IP-adress för varje server.
Telefonsäkerhet med CTL tillhandahåller följande funktioner:
-
Verifiering av TFTP-hämtade filer (konfiguration, språk, ringlista o.s.v.) med hjälp av en signeringsnyckel
-
Kryptering av TFTP-konfigurationsfiler med hjälp av en signeringsnyckel
-
Krypterad samtalssignal för IP-telefoner
-
Krypterat samtalsljud (media) för IP-telefoner
Dedikerad instans tillhandahåller slutpunktsregistrering och samtalsbearbetning. Signalerna mellan Cisco Unified CM och slutpunkter baseras på Secure Skinny Client Control Protocol (SCCP) eller Session Initiation Protocol (SIP) och kan krypteras med TLS (Transport Layer Security). Media från/till slutpunkterna baseras på RTP (Real-time Transport Protocol) och kan också krypteras med Secure RTP (SRTP).
Om du aktiverar blandat läge på Unified CM aktiveras kryptering av signalerings- och medietrafiken från och till Cisco-slutpunkterna.
Säkra UC-program
Aktivera blandat läge i dedikerad instansBlandat läge är aktiverat som standard i dedikerad instans.
Om blandat läge aktiveras i dedikerad instans kan signalerings- och medietrafiken krypteras från och till Cisco-slutpunkterna.
I Cisco Unified CM-version 12.5(1) lades ett nytt alternativ för att aktivera kryptering av signalering och media baserat på SIP OAuth i stället för blandat läge/CTL till för Jabber- och Webex-klienter. I Unified CM-version 12.5(1) kan SIP OAuth och SRTP därför användas för att aktivera kryptering för signalering och media för Jabber- eller Webex-klienter. Aktivering av blandat läge krävs fortfarande för Cisco IP-telefoner och andra Cisco-slutpunkter. I en framtida version finns en plan för att lägga till stöd för SIP OAuth under 7800/8800-slutpunkter.
Säkerhet för röstmeddelandenCisco Unity Connection ansluter till Unified CM via TLS-porten. När enhetens säkerhetsläge inte är säkert ansluts Cisco Unity Connection Unified CM via SCCP-porten.
För att konfigurera säkerheten för Unified CM-röstmeddelandeportar och Cisco Unity-enheter som kör SCCP- eller Cisco Unity Connection-enheter som använder SCCP kan en partner välja ett säkert säkerhetsläge för porten. Om du väljer en autentiserad port för röstbrevlåda öppnas en TLS-anslutning som autentiserar enheterna genom att använda ett ömsesidigt certifikatutbyte (varje enhet accepterar certifikatet för den andra enheten). Om du väljer en krypterad port för röstbrevlådan autentiserar systemet först enheterna och skickar sedan krypterade röstströmmar mellan enheterna.
Mer information om portarna för säkerhetsmeddelanden finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Säkerhet för SRST, trunkar, gateways, CUBE/SBC
En gateway Cisco Unified kvarvarande fjärrwebbplatstelefoni (SRST) tillhandahåller begränsade uppgifter för samtalsbehandling om Cisco Unified CM på dedikerad instans inte kan slutföra samtalet.
Säkra SRST-aktiverade gateways innehåller ett själv signerat certifikat. När en partner har utför konfigurationsuppgifter för SRST i Unified CM-administration använder Unified CM en TLS-anslutning för att autentisera med tjänsten Certifikatleverantör i den SRST-aktiverade gatewayen. Unified CM hämtar sedan certifikatet från SRST-aktiverad gateway och lägger till certifikatet i Unified CM-databasen.
När partner återställer beroende enheter i Unified CM Administration lägger TFTP-servern till det SRST-aktiverade gatewaycertifikatet till telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder då en TLS-anslutning för att interagera med SRST-aktiverad gateway.
Det rekommenderas att ha säkra trunkar för samtalet som härstammar från Cisco Unified CM till gatewayen för utgående PSTN-samtal eller genomgående via Cisco Unified Border Element (CUBE).
SIP-trunkar kan stödja säkra samtal både för signalering och media; TLS tillhandahåller signaleringskryptering och SRTP tillhandahåller mediekryptering.
Säkra kommunikationen mellan Cisco Unified CM och CUBE
För säker kommunikation mellan Cisco Unified CM och CUBE måste partner/kunder använda antingen själv signerade certifikat eller CA-signerade certifikat.
För själv signerade certifikat:
-
CUBE och Cisco Unified CM skapar själv signerade certifikat
-
CUBE exporterar certifikat till Cisco Unified CM
-
Cisco Unified CM-exportcertifikat till CUBE
För CA-signerade certifikat:
-
Klienten skapar ett nyckelpar och skickar en certifikatsigneringsförfrågan (CSR) till certifikatutfärdaren (CA)
-
CA signerar det med sin privata nyckel och skapar ett identitetscertifikat
-
Klienten installerar listan över betrodda CA-rot- och klientcertifikat och identitetscertifikatet
Säkerhet för fjärrslutpunkter
Med mobil- Remote Access slutpunkter (MRA) krypteras signalerings- och mediet alltid mellan MRA-slutpunkterna och Expressway noder. Om protokollet Interaktiv anslutningskonställande (ICE) används för MRA-slutpunkter krävs signalering mediekryptering MRA-slutpunkter. Kryptering av signalering och media mellan Expressway-C och interna Unified CM-servrar, interna slutpunkter eller andra interna enheter kräver dock blandat läge eller SIP OAuth.
Cisco Expressway säker brandväggspassagen och stöd på radsidan för Unified CM-registreringar. Unified CM ger samtalskontroll för både mobila och lokala slutpunkter. Signalsignalen tar över Expressway lösning mellan fjärrslutpunkten och Unified CM. Media förflyttas över Expressway lösning och vidarebefordras direkt mellan slutpunkter. All media är krypterad mellan Expressway-C och den mobila slutpunkten.
Alla MRA-lösningar Expressway och Unified CM med MRA-kompatibla softklienter och/eller fasta slutpunkter. Lösningen kan tillval inkludera snabbmeddelande- och Presence-tjänsten och Unity Connection.
Protokollsammanfattning
Följande tabell visar protokollen och tillhörande tjänster som används i Unified CM-lösningen.
Protocol |
Säkerhet |
Tjänst |
---|---|---|
SIP |
TLS |
Sessionen är inte med på det här mötet: Registrera dig, bjud in m.m. |
HTTPS |
TLS |
Logga in, tillhandahållande/konfiguration, katalog, visuell röstbrevlåda |
Media |
SRTP |
Media: Ljud, video, innehållsdelning |
XMPP |
TLS |
Snabbmeddelanden, närvaro, federation |
Mer information om MRA-konfiguration finns i: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Konfigurationsalternativ
Den dedikerade instansen ger partner flexibiliteten att anpassa tjänster för slutanvändare genom full kontroll över dag två-konfigurationer. Detta innebär att partnern är ensamt ansvarig för korrekt konfiguration av dedikerad instans-tjänsten för slutanvändarens miljö. Detta inkluderar men inte begränsat till:
-
Välja säkra/osäkra samtal, säkra/osäkra protokoll som SIP/sSIP, http/https etc och förstå eventuella risker.
-
För alla MAC-adresser som inte har konfigurerats som säkra SIP i dedikerad instans kan en angripare skicka SIP-registermeddelande med den MAC-adressen och kan ringa SIP-samtal, vilket leder till avgiftsbelagda bedrägeri. Perquisite är att angriparen kan registrera sin SIP-enhet/ programvara till dedikerad instans utan behörighet om de känner till MAC-adressen till en enhet som är registrerad i Dedikerad instans.
-
Expressway-E-samtalsprinciper, transform- och sökregler bör konfigureras för att förhindra avgiftsbelagda bedrägeri. Mer information om hur du förhindrar avgiftsbelagda bedrägeri med Expressways finns i avsnittet Säkerhet för Expressway C Expressway-E i Collaboration SRND.
-
Konfiguration av nummerplan för att säkerställa att användare endast kan ringa destinationer som är tillåtna, t.ex. förbjuda nationella/internationella samtal, nödsamtal dirigeras korrekt osv. Mer information om hur du tillämpar begränsningar med nummerplan finns i avsnittet Nummerplan i Samarbete-SRND.
Certifikatkrav för säkra anslutningar i dedikerad instans
För dedikerad instans tillhandahåller Cisco domänen och signerar alla certifikat för UC-programmen med hjälp av en offentlig certifikatutfärdare (CA).
Dedikerad instans – portnummer och protokoll
Följande tabell beskriver de portar och protokoll som stöds i Dedikerad instans. Portar som används för en viss kund beror på kundens distribution och lösning. Protokollen beror på kundens önskemål (SCCP vs SIP), befintliga lokala enheter och vilken säkerhetsnivå som ska användas för att avgöra vilka portar som ska användas i varje distribution.
Dedikerad instans tillåter inte NAT (Network Address Translation) mellan slutpunkter och Unified CM eftersom vissa av samtalsflödesfunktionerna inte kommer att fungera, till exempel funktionen under samtalet.
Dedikerad instans – kundportar
Portarna som är tillgängliga för kunder – mellan den lokala kunden och den dedikerade instansen visas i Tabell 1 Dedikerade instanskundportar. Alla portar som listas nedan gäller för kundtrafik som går genom peering-länkarna.
SNMP-porten är som standard endast öppen för Cisco Emergency Responder för att stödja dess funktioner. Eftersom vi inte stöder partner eller kunder som övervakar de UC-program som distribueras i molnet för dedikerad instans tillåter vi inte att SNMP-porten öppnas för andra UC-program.
Portar i intervallet 5063 till 5080 har reserverats av Cisco för andra molnintegreringar. Partner- eller kundadministratörer rekommenderas att inte använda dessa portar i sina konfigurationer.
Protokoll |
TCP/UDP |
Source |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
Ssh |
TCP |
klient |
UC-program Ej tillåtet för Cisco Expressway-program. |
Större än 1 023 |
22 |
Administration |
Tftp |
UDP |
Slutpunkt |
Unified CM |
Större än 1 023 |
69 |
Stöd för äldre slutpunkt |
LDAP |
TCP |
UC-program |
Extern katalog |
Större än 1 023 |
389 |
Katalogsynkronisering med kundens LDAP |
HTTPS |
TCP |
Webbläsare |
UC-program |
Större än 1 023 |
443 |
Webbåtkomst för självhjälp och administrativa gränssnitt |
Utgående e-post (SÄKER) |
TCP |
UC-program |
CUCxn |
Större än 1 023 |
587 |
Används för att skapa och skicka säkra meddelanden till alla avsedda mottagare |
LDAP (SÄKERT) |
TCP |
UC-program |
Extern katalog |
Större än 1 023 |
636 |
Katalogsynkronisering med kundens LDAP |
H323 |
TCP |
Gateway |
Unified CM |
Större än 1 023 |
1720 |
Samtalssignalering |
H323 |
TCP |
Unified CM |
Unified CM |
Större än 1 023 |
1720 |
Samtalssignalering |
SCCP |
TCP |
Slutpunkt |
Unified CM och CUCxn |
Större än 1 023 |
2000 |
Samtalssignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Större än 1 023 |
2000 |
Samtalssignalering |
mgcp |
UDP |
Gateway |
Gateway |
Större än 1 023 |
2427 |
Samtalssignalering |
MGCP-bakåtsträvande |
TCP |
Gateway |
Unified CM |
Större än 1 023 |
2428 |
Samtalssignalering |
SCCP (SÄKER) |
TCP |
Slutpunkt |
Unified CM och CUCxn |
Större än 1 023 |
2443 |
Samtalssignalering |
SCCP (SÄKER) |
TCP |
Unified CM |
Unified CM, Gateway |
Större än 1 023 |
2443 |
Samtalssignalering |
Verifiering av tillit |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
2445 |
Tillhandahålla tillit för verifieringstjänst för slutpunkter |
Cti |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
2748 |
Anslutning mellan CTI-program (JTAPI/TSP) och CTIManager |
Säker CTI |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
2749 |
Säker anslutning mellan CTI-program (JTAPI/TSP) och CTIManager |
LDAP Global katalog |
TCP |
UC-program |
Extern katalog |
Större än 1 023 |
3268 |
Katalogsynkronisering med kundens LDAP |
LDAP Global katalog |
TCP |
UC-program |
Extern katalog |
Större än 1 023 |
3269 |
Katalogsynkronisering med kundens LDAP |
CAPF-tjänst |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
3804 |
Capf-lyssningsport för certifikatutfärdarens proxyfunktion (CAPF) för att ge ut lokalt viktiga certifikat (LSC) till IP-telefoner |
SIP |
TCP |
Slutpunkt |
Unified CM och CUCxn |
Större än 1 023 |
5060 |
Samtalssignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Större än 1 023 |
5060 |
Samtalssignalering |
SIP (SÄKERT) |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
5061 |
Samtalssignalering |
SIP (SÄKERT) |
TCP |
Unified CM |
Unified CM, Gateway |
Större än 1 023 |
5061 |
Samtalssignalering |
SIP (OAUTH) |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
5090 |
Samtalssignalering |
XMPP |
TCP |
Jabber-klient |
Cisco IM&P |
Större än 1 023 |
5222 |
Snabbmeddelanden och närvaro |
HTTP |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
6970 |
Hämtar konfiguration och bilder till slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
6971 |
Hämtar konfiguration och bilder till slutpunkter |
HTTPS |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
6972 |
Hämtar konfiguration och bilder till slutpunkter |
HTTP |
TCP |
Jabber-klient |
CUCxn |
Större än 1 023 |
7080 |
Aviseringar via röstbrevlåda |
HTTPS |
TCP |
Jabber-klient |
CUCxn |
Större än 1 023 |
7443 |
Säkra aviseringar via röstbrevlåda |
HTTPS |
TCP |
Unified CM |
Unified CM |
Större än 1 023 |
7501 |
Används av söktjänsten inomcluster (ILS) för certifikatbaserad autentisering |
HTTPS |
TCP |
Unified CM |
Unified CM |
Större än 1 023 |
7502 |
Används av ILS för lösenordsbaserad autentisering |
IMAP |
TCP |
Jabber-klient |
CUCxn |
Större än 1 023 |
7993 |
IMAP över TLS |
HTTP |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
8080 |
Katalog-URI för stöd för äldre slutpunkter |
HTTPS |
TCP |
Webbläsare, slutpunkt |
UC-program |
Större än 1 023 |
8443 |
Webbåtkomst för självhjälp och administrativa gränssnitt, UDS |
HTTPS |
TCP |
Telefon |
Unified CM |
Större än 1 023 |
9443 |
Autentiserad kontaktsökning |
HTTP-adresser |
TCP |
Slutpunkt |
Unified CM |
Större än 1 023 |
9444 |
Hanteringsfunktion för headset |
Säker RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 till 32767 * |
16384 till 32767 * |
Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering) |
Säker RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 till 32767 * |
16384 till 32767 * |
Media (ljud) – Musik on Hold, Annunciator, Software Conference Bridge (öppen baserad på samtalssignalering) |
Kopp (olika betydelser) |
TCP |
klient |
CUCxn |
Större än 1 023 |
20532 |
Säkerhetskopiera och återställ programsvit |
ICMP |
ICMP |
Slutpunkt |
UC-program |
ej tillämpligt |
ej tillämpligt |
Ping |
ICMP |
ICMP |
UC-program |
Slutpunkt |
ej tillämpligt |
ej tillämpligt |
Ping |
DNS | UDP och TCP |
DNS-vidarebefordran |
DNS-servrar för dedikerad instans |
Större än 1 023 |
53 |
DNS-vidarebefordrare på kundens plats till DNS-servrar för dedikerad instans. Se DNS-krav för mer information. |
* Vissa specialfall kan använda ett längre intervall. |
Dedikerad instans – OTT-portar
Följande port kan användas av kunder och partner för inställning av MRA (Mobile and Remote Access):
Protocol |
TCP/UCP |
Source |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
SÄKER RTP/RTCP |
UDP |
Expressway C |
Klient |
Större än 1 023 |
36000-59999 |
Säker media för MRA- och B2B-samtal |
Inter-op SIP-trunk mellan multiklient och dedikerad instans (endast för registreringsbaserad trunk)
Följande lista med portar måste tillåtas i kundens brandvägg för den registreringsbaserade SIP-trunken som ansluter mellan multiklientorganisationen och den dedikerade instansen.
Protocol |
TCP/UCP |
Source |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling för flera klienter |
Klient |
Större än 1 023 |
8000-48198 |
Media från Webex Calling-multiklient |
Dedikerad instans – UCCX-portar
Följande lista över portar kan användas av kunder och partners för konfigurering av UCCX.
Protocol |
TCP/UCP |
Source |
Destination |
Källport |
Destinationsport |
Syfte |
---|---|---|---|---|---|---|
Ssh |
TCP |
klient |
UCCX |
Större än 1 023 |
22 |
SFTP och SSH |
Informix |
TCP |
Klient eller server |
UCCX |
Större än 1 023 |
1504 |
Databasport för Contact Center Express |
SIP |
UDP och TCP |
SIP GW- eller MCRP-server |
UCCX |
Större än 1 023 |
5065 |
Kommunikation med fjärr-GW- och MCRP-noder |
XMPP |
TCP |
klient |
UCCX |
Större än 1 023 |
5223 |
Säker XMPP-anslutning mellan Finesse-servern och anpassade tredjepartsprogram |
Cvd |
TCP |
klient |
UCCX |
Större än 1 023 |
6999 |
Redigerare till CCX-program |
HTTPS |
TCP |
klient |
UCCX |
Större än 1 023 |
7443 |
Säker BOSH-anslutning mellan Finesse-servern och agenten och övervakare för kommunikation via HTTPS |
HTTP |
TCP |
klient |
UCCX |
Större än 1 023 |
8080 |
Klienter för rapportering av live-data ansluter till en socket.IO-server |
HTTP |
TCP |
klient |
UCCX |
Större än 1 023 |
8081 |
Klientwebbläsare som försöker få åtkomst Cisco Unified-gränssnittet för Intelligence Center |
HTTP |
TCP |
klient |
UCCX |
Större än 1 023 |
8443 |
Administratörs GUI, RTMT, DB-åtkomst över SOAP |
HTTPS |
TCP |
klient |
UCCX |
Större än 1 023 |
8444 |
Cisco Unified Intelligence Center-webbgränssnittet |
HTTPS |
TCP |
Webbläsar- och REST-klienter |
UCCX |
Större än 1 023 |
8445 |
Säker port för Finesse |
HTTPS |
TCP |
klient |
UCCX |
Större än 1 023 |
8447 |
HTTPS – Onlinehjälp för Unified Intelligence Center |
HTTPS |
TCP |
klient |
UCCX |
Större än 1 023 |
8553 |
Komponenter med enkel inloggning (SSO) får åtkomst till det här gränssnittet för att ta reda på driftstatusen för Cisco IdS. |
HTTP |
TCP |
klient |
UCCX |
Större än 1 023 |
9080 |
Klienter som försöker få åtkomst till HTTP-utlösare eller dokument/uppmaningar/grammatiker/livedata. |
HTTPS |
TCP |
klient |
UCCX |
Större än 1 023 |
9443 |
Säker port som används för att svara på klienter som försöker få åtkomst till HTTPS-utlösare |
TCP |
TCP |
klient |
UCCX |
Större än 1 023 |
12014 |
Detta är porten där rapporteringsklienter med live-data kan ansluta till socket.IO-servern |
TCP |
TCP |
klient |
UCCX |
Större än 1 023 |
12015 |
Detta är porten där rapporteringsklienter med live-data kan ansluta till socket.IO-servern |
Cti |
TCP |
klient |
UCCX |
Större än 1 023 |
12028 |
CTI-klient från tredje part till CCX |
RTP (Media) |
TCP |
Slutpunkt |
UCCX |
Större än 1 023 |
Större än 1 023 |
Mediaporten öppnas dynamiskt efter behov |
RTP (Media) |
TCP |
klient |
Slutpunkt |
Större än 1 023 |
Större än 1 023 |
Mediaporten öppnas dynamiskt efter behov |
Klientsäkerhet
Säkra Jabber och Webex med SIP OAuth
Jabber- och Webex-klienter verifieras via en OAuth-token istället för ett lokalt betydande certifikat (LSC), som inte kräver certifikatutfärdarens proxyfunktion (CAPF) -aktiveras (även för MRA). SIP OAuth som arbetar med eller utan blandat läge introduceras i Cisco Unified CM 12.5(1), Jabber 12.5 och Expressway X12.5.
I Cisco Unified CM 12.5 har vi ett nytt alternativ i telefonsäkerhetsprofilen som aktiverar kryptering utan LSC/CAPF med enkel Transport Layer Security (TLS) + OAuth-token i SIP REGISTER. Expressway-C-noder använder DEN administrativa XML-webbtjänstens API (AXL) för att informera Cisco Unified CM för SN/SAN i certifikatet. Cisco Unified CM använder denna information för att validera Exp-C-certifikatet när en ömsesidig TLS anslutningen.
SIP OAuth aktiverar medie- och signaleringskryptering utan ett slutpunktscertifikat (LSC).
Cisco Jabber använder Ephemeral-portar och säkra portar 6971- och 6972-portar via HTTPS-anslutning till TFTP-servern för att hämta konfigurationsfilerna. Port 6970 är en port som inte är säker för hämtning via HTTP.
Mer information om SIP OAuth-konfiguration: SIP OAuth-läge.
DNS-krav
För dedikerad instans tillhandahåller Cisco FQDN för tjänsten i varje region i följande format ..wxc-di.webex.com till exempel xyz.amer.wxc-di.webex.com.
Värdet "kund" tillhandahålls av administratören som en del av installationsguiden för första gången (FTSW). Mer information finns i Aktivering av dedikerad instanstjänst.
DNS-poster för FQDN måste kunna åtgärdas från kundens interna DNS-server för att stödja lokala enheter som ansluter till den dedikerade instansen. För att underlätta upplösning måste kunden konfigurera en villkorad vidarebefordrare för denna FQDN på sin DNS-server och peka på DNS-tjänsten för dedikerad instans. DNS-tjänsten för dedikerad instans är regional och kan nås via peering till dedikerad instans med följande IP-adresser enligt nedanstående tabell IP-adress för dedikerad instans.
Region/DC | Dedikerade INSTANS DNS-tjänstens IP-adress |
Exempel på villkorad vidarebefordran |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
Europa, Mellanöstern och Afrika |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
från |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
Asien och Stillahavsområdet samt Japan och Kina |
<customer>.apjc.wxc-di.webex.com |
|
Synd |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
SYD |
178.215.128.228 |
|
Storbritannien |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
man |
178.215.135.228 |
Ping-alternativet är av säkerhetsskäl inaktiverat för ovanstående omnämnda DNS-server-IP-adresser.
Innan den villkorade vidarebefordran är på plats kommer enheterna inte att kunna registrera sig till den dedikerade instansen från kundens interna nätverk via peering-länkarna. Villkorad vidarebefordran krävs inte för registrering via mobil och Remote Access (MRA) eftersom alla nödvändiga externa DNS-register för att underlätta MRA kommer att etableras av Cisco.
När du använder Webex-programmet som din samtalsklient för dedikerad instans måste en UC Manager-profil konfigureras i Control Hub för varje regions rösttjänstdomän (VSD). Mer information finns i UC Manager-profiler i Cisco Webex Control Hub. Webex-programmet kommer automatiskt att kunna lösa kundens problem med Edge Expressway utan några åtgärder från slutanvändare.
Rösttjänstdomänen kommer att tillhandahållas kunden som en del av partneråtkomstdokumentet när tjänsteaktiveringen är slutförd.
Använd en lokal router för telefonens DNS-upplösning
För telefoner som inte har åtkomst till företagets DNS-servrar är det möjligt att använda en lokal Cisco-router för att vidarebefordra DNS-förfrågningar till molnet DNS för dedikerad instans. Detta tar bort behovet av att distribuera en lokal DNS-server och ger fullständig DNS-support inklusive cachelagring.
Exempel på konfiguration :
!
ip-dns-server
ip-namnserver
!
DNS-användningen i den här distributionsmodellen är specifik för telefoner och kan endast användas för att lösa FQDN:er med domänen från kundens dedikerade instans.
Referenser
-
Cisco Collaboration 12.x Solution Reference Network Design (SRND), Säkerhetsämne: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Säkerhetsguide för Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html