- Ana Sayfa
- /
- Makale
Webex Calling için güvenlik gereksinimleri
Bu makale, özellikle güvenlik duvarı ve proxy güvenliği yöneticileri olmak üzere kuruluşlarında Webex Calling'i kullanmak isteyen ağ yöneticilerine yöneliktir.
Güvenlik duvarına ilişkin bağlantı noktası referans bilgilerini ve erişim kurallarını öğrenmek için bkz. Cisco Webex Calling için Bağlantı Noktası Referans Bilgileri.
Uç Noktalar için Gereksinimler
Webex Calling Edge
Bir SIP kaydı veya çağrı gerçekleştirmek için şu adımları tamamlayın:
-
Etkin Edge düğümleri için bir SIP uç noktasının ana bilgisayar adresini keşfedin.
-
Kullanıcı ve cihaz yapılandırması ile ilgili tüm ön koşulları tamamlayın.
-
Uç noktanın, hizmet keşfini başlatmak için genel ağ bağlantısallığına sahip olduğundan emin olun.
-
Bir bölge veya veri merkezine özgü sağlama yapılandırmasıyla uç noktayı önyüklemenin ön koşullarını tamamlayın. Bu yapılandırma, hizmet keşfi için ilgili etki alanı adı son ekinin alınmasına yardımcı olur.
IPv4 ile IPv6 karşılaştırması
Cihazlar, tek sürüm veya çift yığın modunda çalışabilir. Tercih edilen protokoldeki değişiklikleri belirleyen yapılandırmadır ve bu değişiklikler hizmet keşfinin bir parçası değildir.
-
Tek yığın modu: Yalnızca bir IP protokolünü etkinleştirir (örneğin, IPv4) ve diğer protokol adreslerini yok sayar.
-
Çift yığın modu: Yapılandırma yoluyla tercih edilen bir IP sürümünü seçer.
İstemci, tercih edilen tüm adreslerin önceliğinin IP'nin tüm adreslerinden daha düşük (yani tercih edilen) olduğunu düşünür. IPv4 tercih edilirse, bir IPv6 adresi denenmeden önce tüm IPv4 adresleri denenir. Tüm adresler başarısız olursa döngü en düşük öncelikli tercih edilen protokol adresiyle yeniden başlar.
Bir anlık bildirimi aldıktan sonra kaydolan bir mobil istemci, önceki kayıtlara göre modu optimize etmeye karar verebilir.
DNS SRV adresinden ana bilgisayar adresinin çözümlenmesi
Sağlama işleminden elde edilen uç nokta yapılandırma dosyasında etki alanı göstergesi, erişim kenarı hizmetini keşfedecek etki alanı adını belirtir. Etki alanı adı örneği:
wxc.edge.bcld.webex.com
Örnekte bu etki alanı için DNS SRV araması gerçekleştiren uç nokta, aşağıdakine benzer bir yanıt verebilir:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
Bu durumda SRV kaydı 3 A kayıtlarına işaret eder.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
Örnekte tüm ana bilgisayarların, farklı ağırlık ve önceliklerle 5061 numaralı bağlantı noktasıyla iletişim kurmaları bildirilir.
Uç noktalar için bu gereksinimleri göz önünde bulundurun.
-
TLS tabanlı iletişimi başlatmak üzere ana bilgisayar adresini almak üzere bir DNS SRV araması gerçekleştirmek üzere bir uç nokta ön ek olarak
_sips._tcp
(hizmet ve protokol kombinasyonu) kullanılmalıdır. -
Bir uç nokta, DNS SRV adresinden ana bilgisayar adresinin çözümlenmesi bölümünde açıklanan koşullar için bir DNS SRV araması gerçekleştirmelidir.
-
Bir uç nokta, ana bilgisayar adresinin her biri için bildirilen ana bilgisayar, bağlantı noktası, ağırlık ve öncelik koşullarını karşılamalıdır. Ayrıca, SIP kaydı sırasında bir soket bağlantısı oluştururken ana bilgisayardan bağlantı noktasına bir benzeşim oluşturmalıdır.
-
DNS SRV kaydı kullanımına özel olarak, öncelik ve ağırlığa dayalı seçim kriterleri RFC 2782'de açıklanmıştır.
SIP ve Medya Gereksinimleri
Gereksinim |
Description |
---|---|
Ortak anahtar şifrelemesi için gereken güven sertifikası |
Webex sertifikalarının imzalama yetkisi ve cihazlarda gereken Kök CA hakkında bilgi edinmek için makaleye başvurun |
Güvenli SIP için desteklenen TLS sürümü |
TLS 1.2 |
Güvenli SIP için desteklenen TLS şifreleri |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
Güvenli medya için desteklenen SRTP Anahtarları |
AES_CM_128_HMAC_SHA1_80 |
mTLS ile Güvenli SIP için Gereksinimler (karşılıklı TLS)
Gereksinimler burada ayrıntılı olarak açıklanmaktadır.
Ana hattan gelen aramaların başarılı bir şekilde yetkilendirilmesi ve doğrulanması için İmzalı bir sertifika gereklidir. Sertifika aşağıdaki gereksinimleri karşılamalıdır:
-
Sertifikanın, Cisco Webex Ses ve Video Platformlarına Yapılan Çağrılar için Hangi Kök Sertifika Yetkilileri Desteklenir? bölümünde belirtilen bir CA tarafından imzalanması gerekir.
-
CUBE üzerinde Cisco Webex Ses ve Video Platformlarına Yapılan Çağrılar için Hangi Kök Sertifika Yetkilileri Desteklenir? bölümünde belirtilen güven paketini yükleyin.
-
Sertifika daima şu şekilde olmalıdır:
-
İmzalanan sertifikaların geçerlilik süresi dolmamış olmalıdır.
-
Kök veya ara sertifikaların geçerlilik süresi dolmamış olmalı ve sertifikalar iptal edilmemiş olmalıdır.
-
Sertifikalar istemci ve sunucu kullanımı için imzalanmış olmalıdır.
-
Sertifikalar, Tam Nitelikli Etki Alanı Adını (FQDN) Control Hub'da seçilen FQDN ile sertifikada genel ad veya konu alternatif adı olarak içermelidir. Örnek:
-
Kuruluşunuzun Control Hub'ından london.lgw.cisco.com:5061 ile FQDN olarak yapılandırılan bir ana hat, sertifika CN veya SAN'ında london.lgw.cisco.com'u içermelidir.
-
Kuruluşunuzun Control Hub'ından london.lgw.cisco.com ile SRV olarak yapılandırılan bir ana hat, sertifika CN veya SAN'ında london.lgw.cisco.com'u içermelidir. SRV adresinin (CNAME/A Kaydı/ IP Adresi) alıcısına çözümlediği kayıtlar SAN'da isteğe bağlıdır.
-
-
Sertifikaları birden fazla Yerel Ağ Geçidi ile paylaşabilirsiniz, ancak FQDN gereksinimlerinin karşılandığından emin olun.
-
Kapsam Dışı
Bu makale, ağ güvenliğiyle ilgili aşağıdaki bilgileri içermez:
-
CA ve Şifreler için F5 gereksinimleri
-
Webex için güvenlik duvarı kurallarını indirmek üzere HTTP tabanlı bir API.
-
Bir güven paketi için API
-
Güvenlik duvarı gereksinimi ve ALG devre dışı bırakma