- Ana Sayfa
- /
- Makale
Ayrılmış Örnek çözümü için ağ ve güvenlik gereksinimleri, güvenli fiziksel erişim, ağ, uç noktalar ve Cisco UC uygulamaları sağlayan özelliklere ve işlevlere katmanlı bir yaklaşımdır. Ağ gereksinimlerini tanımlar ve uç noktalarınızı hizmetlere bağlamak için kullanılan adresleri, bağlantı noktalarını ve protokolleri listeler.
Ayrılmış Örnek için ağ gereksinimleri
Webex Calling Ayrılmış Örneği, Cisco Unified Communications Manager (Cisco Unified CM) iş birliği teknolojisi ile desteklenen Cisco Cloud Calling portföyünün bir parçasıdır. Ayrılmış Örnek; Cisco IP telefonlarının, mobil cihazların ve masaüstü istemcilerinin özellikleri ve avantajlarıyla ses, video, mesajlaşma ve mobilite çözümleri sunar.
Bu makale, özellikle güvenlik duvarı ve proxy güvenliği yöneticileri olmak üzere, kuruluşlarında Özel Örnek kullanmak isteyen ağ yöneticilerine yöneliktir.
Güvenliğe genel bakış: Katmanlarda güvenlik
Ayrılmış Örnek, güvenlik için katmanlı bir yaklaşım kullanır. Katmanlar şunları içerir:
-
Fiziksel erişim
-
Ağ
-
Uç Noktalar
-
UC uygulamaları
Aşağıdaki bölümlerde Ayrılmış Örnek dağıtımlarındaki güvenlik katmanları açıklanmaktadır.
Fiziki güvenlik
Equinix Meet-Me Odası konumlarına ve Cisco Ayrılmış Örnek Veri Merkezi olanaklarına fiziksel güvenlik sağlamak önemlidir. Fiziksel güvenlik tehlikeye girdiğinde, müşterinin anahtarlarının gücü kapatılarak hizmet kesintisi gibi basit saldırılar başlatılabilir. Fiziksel erişimle, saldırganlar sunucu cihazlarına erişebilir, parolaları sıfırlayabilir ve anahtarlara erişim elde edebilir. Fiziksel erişim, ortadaki adam saldırıları gibi daha sofistike saldırıları da kolaylaştırır, bu yüzden ikinci güvenlik katmanı ağ güvenliği önemlidir.
Kendi Kendini Şifreleyen sürücüler, UC uygulamalarını barındıran Ayrılmış Örnek Veri Merkezlerinde kullanılır.
Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Ağ güvenliği
Iş ortaklarının, tüm ağ öğelerinin Ayrılmış Örnek altyapısında (Equinix ile bağlanır) güvenli olduğundan emin olması gerekir. Aşağıdakiler gibi en iyi güvenlik uygulamalarını sağlamak iş ortağının sorumluluğundadır:
-
Ses ve veriler için ayrı VLAN
-
Port başına izin verilen MAC adresi sayısını, CAM masa baskınına karşı sınırlayan Port Güvenliğini etkinleştir
-
Sahte IP adreslerine karşı IP Source Guard
-
Dinamik ARP Denetimi (DAI), adres çözümleme protokolünü (ARP) ve karşılıksız ARP (GARP) ihlalleri (ARP sahteciliğine karşı) incelemektedir
-
802.1x, atanan VLAN'larda cihaz kimliğini doğrulamak için ağ erişimini sınırlar (telefonlar 802.1x'i destekler)
-
Ses paketlerinin uygun şekilde işaretlenmesi için hizmet kalitesi yapılandırması (QoS)
-
Diğer trafiği engellemek için güvenlik duvarı bağlantı noktaları yapılandırmaları
Uç nokta güvenliği
Cisco uç noktaları, uç noktalar için belirli bir güvenlik seviyesi sağlayan imzalı üretici yazılımı, güvenli önyükleme (seçilen modeller), üretici tarafından yüklenen sertifika (MIC) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.
Ayrıca, iş ortağı veya müşteri aşağıdakiler gibi ek güvenlik etkinleştirebilir:
-
Extension Mobility gibi hizmetler için IP Telefonu hizmetlerini (HTTPS ile) şifreleme
-
Sertifika yetkilisi proxy işlevinden (CAPF) veya genel sertifika yetkilisinden (CA) yerel olarak önemli sertifikalar (LSC'ler) düzenleme
-
Yapılandırma dosyalarını şifrele
-
Ortamı ve sinyali şifrele
-
Kullanılmıyorsa bu ayarları devre dışı bırakın: PC bağlantı noktası, PC Ses VLAN Erişimi, Karşılıksız ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol
Ayrılmış Örnekte güvenlik mekanizmalarının uygulanması, telefonların ve Unified CM sunucusunun kimliğinin çalınmasını, verilerin oynanmasını ve çağrı sinyali / ortam akışı oynanmasını önler.
Ağ üzerinden Ayrılmış Örnek:
-
Kimliği doğrulanmış iletişim akışları kurar ve sürdürür
-
Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar
-
Ortam akışlarını ve Cisco Unified IP Telefonları arasındaki çağrı sinyalini şifreler
Güvenlik, varsayılan olarak Cisco Unified IP Telefonları için aşağıdaki otomatik güvenlik özelliklerini sağlar:
-
Telefon yapılandırma dosyalarının imzalanması
-
Telefon yapılandırma dosyası şifreleme desteği
-
Tomcat ve diğer Web hizmetleri ile HTTPS (MIDlets)
Unified CM 8.0 Sürümü sonrası için, bu güvenlik özellikleri Sertifika Güven Listesi (CTL) istemcisini çalıştırmadan varsayılan olarak sağlanır.
Güven doğrulama hizmetiBir ağda çok sayıda telefon olduğundan ve IP telefonlarının belleği sınırlı olduğundan, Cisco Unified CM, Güven Doğrulama Hizmeti (TVS) aracılığıyla bir uzak güven deposu görevi görür ve böylece her telefona bir sertifika güven deposu yerleştirilmesi gerekmez. Cisco IP Telefonları, CTL veya ITL dosyaları aracılığıyla bir imza veya sertifikayı doğrulayamadığından doğrulama için TVS sunucusuyla iletişim kurar. Merkezi bir güven mağazasına sahip olmak, her bir Cisco Unified IP telefonunda güven mağazasına sahip olmaktan daha kolaydır.
TVS, Cisco Unified IP Telefonlarının HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulamasına olanak verir.
Ilk güven listesiIlk Güven Listesi (ITL) dosyası, uç noktaların Cisco Unified CM'ye güvenebilmesi için ilk güvenlik için kullanılır. ITL'nin açıkça etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı yoktur. ITL dosyası, küme yüklendiğinde otomatik olarak oluşturulur. ITL dosyasını imzalamak için Unified CM Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusunun özel anahtarı kullanılır.
Cisco Unified CM kümesi veya sunucusu güvenli olmayan modda olduğunda, ITL dosyası desteklenen tüm Cisco IP telefonlarına indirilir. Iş ortağı, admin:show itl adlı CLI komutunu kullanarak ITL dosyasının içeriğini görüntüleyebilir.
Cisco IP Telefonları, aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyaç duyar:
-
Yapılandırma dosyası şifrelemesini desteklemenin ön koşullarından biri olan CAPF ile güvenli bir şekilde iletişim kurun
-
Yapılandırma dosyasının imzasını onayla
-
TVS kullanarak HTTPS kurulumu sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimliğini doğrulayın
Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi Istemcisini yüklediğinde ve yapılandırdığında oluşturulan Sertifika Güven Listesi (CTL) dosyasının oluşturulmasına dayanır.
CTL dosyası, aşağıdaki sunucuların veya güvenlik belirteçlerinin girişlerini içerir:
-
Sistem Yöneticisi Güvenlik Belirteci (SAST)
-
Aynı sunucuda çalışan Cisco CallManager ve Cisco TFTP hizmetleri
-
Sertifika Yetkilisi Proxy Işlevi (CAPF)
-
TFTP sunucuları
-
ASA güvenlik duvarı
CTL dosyasında her sunucu için bir sunucu sertifikası, genel anahtar, seri numarası, imza, veren adı, özne adı, sunucu işlevi, DNS adı ve IP adresi bulunur.
CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:
-
Imzalama anahtarı kullanarak TFTP indirilen dosyaların kimlik doğrulaması (yapılandırma, yerel ayarlar, zil listesi vb.)
-
TFTP yapılandırma dosyalarının imzalama anahtarı kullanarak şifrelenmesi
-
IP telefonları için şifreli çağrı sinyali
-
IP telefonları için şifreli çağrı sesi (medya)
Ayrılmış Örnek, uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ile uç noktaları arasındaki sinyalleme, Güvenli Ince Istemci Denetim Protokolü (SCCP) veya Oturum Başlatma Protokolü (SIP) temeline dayanır ve Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenebilir. Uç noktalardan gelen/giden ortam Gerçek Zamanlı Aktarım Protokolü'ne (RTP) dayanır ve Güvenli RTP (SRTP) kullanılarak şifrelenebilir.
Unified CM'de karışık mod etkinleştirilmesi, Cisco uç noktalarından gelen ve giden sinyal ve medya trafiğinin şifrelenmesini sağlar.
Güvenli UC uygulamaları
Ayrılmış Örnekte karışık mod etkinleştiriliyorKarma mod, Ayrılmış Örnekte varsayılan olarak etkindir.
Ayrılmış Örnekte karışık modun etkinleştirilmesi, Cisco uç noktalarından gelen ve bu noktalara giden sinyal ve medya trafiğini şifrelemeyi gerçekleştirebilmenizi sağlar.
Cisco Unified CM sürüm 12.5(1)'de, Jabber ve Webex istemcileri için karışık mod / CTL yerine SIP OAuth tabanlı sinyal ve ortam şifrelemesini etkinleştirmeye yönelik yeni bir seçenek eklendi. Bu nedenle, Unified CM sürüm 12.5(1)'de, sinyalleme için şifrelemeyi ve Jabber veya Webex istemcileri için ortamı etkinleştirmek üzere SIP OAuth ve SRTP kullanılabilir. Şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için karışık mod etkinleştirilmesi gerekli olmaya devam eder. Gelecekteki bir sürümde 7800/8800 uç noktasında SIP OAuth desteği ekleme planı bulunmaktadır.
Sesli mesajlaşma güvenliğiCisco Unity Connection, TLS bağlantı noktası aracılığıyla Unified CM'ye bağlanır. Cihaz güvenlik modu güvenli olmadığında, Cisco Unity Connection SCCP bağlantı noktası aracılığıyla Unified CM'ye bağlanır.
Iş ortağı, SCCP çalıştıran Unified CM sesli mesajlaşma bağlantı noktaları ve SCCP çalıştıran Cisco Unity cihazlarının veya SCCP çalıştıran Cisco Unity Connection cihazlarının güvenliğini yapılandırmak için, bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış bir sesli posta bağlantı noktası seçerseniz, karşılıklı bir sertifika değişimi kullanarak cihazların kimliğini doğrulayan bir TLS bağlantısı açılır (her cihaz diğer cihazın sertifikasını kabul eder). Şifrelenmiş bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazların kimliğini doğrular ve ardından cihazlar arasında şifreli ses akışları gönderir.
Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST, Santraller, Ağ Geçitleri, CUBE/SBC için güvenlik
Özel Örnekteki Cisco Unified CM çağrıyı tamamlayamıyorsa, Cisco Unified Dayanıklı Uzak Site Telefonu (SRST) özellikli ağ geçidi, sınırlı çağrı işleme görevleri sağlar.
SRST özellikli güvenli ağ geçitleri kendinden imzalı bir sertifika içerir. Iş ortağı Unified CM Yönetiminde SRST yapılandırma görevlerini yerine getirdikten sonra, Unified CM SRST özellikli ağ geçidinde Sertifika Sağlayıcısı hizmetiyle kimlik doğrulaması yapmak için bir TLS bağlantısı kullanır. Unified CM daha sonra sertifikayı SRST özellikli ağ geçidinden alır ve sertifikayı Unified CM veritabanına ekler.
Iş ortağı, Unified CM Yönetimi'nde bağımlı cihazları sıfırladıktan sonra, TFTP sunucusu telefon cnf.xml dosyasına SRST özellikli ağ geçidi sertifikasını ekler ve dosyayı telefona gönderir. Ardından, güvenli bir telefon SRST özellikli ağ geçidi ile etkileşim kurmak için bir TLS bağlantısı kullanır.
Cisco Unified CM'den gelen PSTN çağrıları için ağ geçidine gelen çağrılar için güvenli santrallerin olması veya Cisco Unified Border Element (CUBE) üzerinden geçiş yapılması önerilir.
SIP santralleri, hem sinyalleme hem de medya için güvenli çağrıları destekleyebilir; TLS sinyal şifreleme sağlar ve SRTP medya şifreleme sağlar.
Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama
Cisco Unified CM ve CUBE arasında güvenli iletişim için, iş ortaklarının/müşterilerin kendinden imzalı sertifika veya CA imzalı sertifikaları kullanması gerekir.
Kendinden imzalı sertifikalar için:
-
CUBE ve Cisco Unified CM kendinden imzalı sertifikalar oluşturur
-
CUBE, sertifikayı Cisco Unified CM'ye dışa aktarıyor
-
Cisco Unified CM, sertifikayı CUBE'a dışa aktarıyor
Sertifika yetkilisi imzalı sertifikalar için:
-
Istemci bir anahtar çifti oluşturur ve Sertifika Imzalama Talebi (CSR) Sertifika Yetkilisine (CA) gönderir
-
CA, özel anahtarı ile imzalar ve Kimlik Sertifikası oluşturur.
-
Istemci, güvenilir CA Kök ve Aracı Sertifikaları ile Kimlik Sertifikasını yükler
Uzak uç noktalar için güvenlik
Mobil ve Remote Access (MRA) uç noktaları ile sinyal ve ortam her zaman MRA uç noktaları ve Expressway düğümleri arasında şifrelenir. MRA uç noktaları için Etkileşimli Bağlantı Kurma (ICE) protokolü kullanılıyorsa MRA uç noktalarının sinyallemesi ve medya şifrelemesi gereklidir. Bununla birlikte, Expressway-C ve dahili Unified CM sunucuları, dahili uç noktaları veya diğer dahili cihazlar arasında sinyal ve medyanın şifrelenmesi karışık mod veya SIP OAuth gerektirir.
Cisco Expressway, Unified CM kayıtları için güvenli güvenlik duvarı geçişi ve hat tarafı desteği sağlar. Unified CM, hem mobil hem de şirket içi uç noktalar için çağrı kontrolü sağlar. Sinyalleme, uzak uç noktası ve Unified CM arasında Expressway çözümünü aktarır. Medya, Expressway çözümünden geçer ve doğrudan uç noktalar arasında aktarılır. Tüm medya, Expressway-C ile mobil uç noktası arasında şifrelenir.
Herhangi bir MRA çözümü, MRA uyumlu yazılım istemcileriyle ve/veya sabit uç noktalarıyla Expressway ve Unified CM gerektirir. Çözüm isteğe bağlı olarak IM, Iletişim Durumu Hizmeti ve Unity Connection'ı içerebilir.
Protokol özeti
Aşağıdaki tabloda, Unified CM çözümünde kullanılan protokoller ve ilişkili hizmetler gösterilmektedir.
Protokol |
Güvenlik |
Hizmet |
---|---|---|
SIP |
TLS |
Oturum Oluşturma: Kayıt, Davet Et vb. |
HTTPS |
TLS |
Oturum Açma, Hazırlama/Yapılandırma, Dizin, Görsel Sesli Posta |
Ortam |
SRTP |
Basın: Ses, Video, Içerik Paylaşımı |
XMPP için |
TLS |
Anlık Mesajlaşma, Iletişim Durumu, Federasyon |
MRA yapılandırması hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Yapılandırma seçenekleri
Özel Örnek, Iş Ortağına iki. günün yapılandırmalarını tam olarak kontrol ederek son kullanıcılara yönelik hizmetleri özelleştirme esnekliği sağlar. Sonuç olarak, Iş Ortağı yalnızca son kullanıcının ortamı için Ayrılmış Örnek hizmetinin uygun şekilde yapılandırılmasından sorumludur. Buna aşağıdakiler dâhildir, ancak bunlarla sınırlı değildir:
-
Güvenli/güvenli olmayan çağrılar, SIP/sSIP, http/https gibi güvenli/güvenli olmayan protokolleri seçmek ve ilişkili riskleri anlamak.
-
Ayrılmış Örnekte güvenli SIP olarak yapılandırılmamış tüm MAC adresleri için, saldırgan bu MAC adresini kullanarak SIP Kayıt mesajı gönderebilir ve SIP çağrıları yapabilir ve bu da ücret dolandırıcılığı ile sonuçlanabilir. Bunun anlamı, saldırganın Ayrılmış Örnekte kayıtlı bir cihazın MAC adresini biliyorsa yetkilendirilmeden SIP cihazını / yazılımını Ayrılmış Örneğe kaydedebilmesidir.
-
Expressway-E çağrı politikaları, dönüştürme ve arama kuralları, ücret dolandırıcılığını önlemek için yapılandırılmalıdır. Expressway’leri kullanarak ücret dolandırıcılığını önleme hakkında daha fazla bilgi için Iş Birliği SRND’nin Expressway C ve Expressway-E Güvenlik bölümüne bakın.
-
Kullanıcıların yalnızca izin verilen hedefleri aramasını sağlamak için arama planı yapılandırması, örneğin ulusal/uluslararası aramayı yasaklama, acil durum çağrılarının düzgün şekilde yönlendirilmesini vb. Arama planını kullanarak sınırlama uygulama hakkında daha fazla bilgi için Iş Birliği SRND'nin Arama Planı bölümüne bakın.
Ayrılmış Örnekte güvenli bağlantılar için sertifika gereksinimleri
Özel Örnek için Cisco, etki alanını sağlar ve genel bir Sertifika Yetkilisi (CA) kullanarak UC Uygulamaları için tüm sertifikaları imzalayacaktır.
Özel Örnek - bağlantı noktası numaraları ve protokoller
Aşağıdaki tablolarda, Ayrılmış Örnekte desteklenen bağlantı noktaları ve protokoller açıklanmaktadır. Belirli bir müşteri için kullanılan bağlantı noktaları, Müşterinin dağıtımına ve çözümüne bağlıdır. Protokoller müşterinin tercihine (SCCP vs SIP), mevcut şirket içi cihazlara ve her dağıtımda hangi bağlantı noktalarının kullanılacağını belirlemek için hangi güvenlik düzeyine bağlıdır.
Çağrı arası özelliği gibi bazı çağrı akışı özelliklerinin çalışmaması nedeniyle, Ayrılmış Örnek uç noktalar ve Unified CM arasında Ağ Adresi Çevirisine (NAT) izin vermez. |
Özel Örnek - Müşteri Bağlantı Noktaları
Şirket içi Müşteri ve Ayrılmış Örnek arasındaki müşteriler için kullanılabilen bağlantı noktaları Tablo 1'de Ayrılmış Örnek Müşteri Bağlantı Noktaları'nda gösterilmiştir. Aşağıda listelenen tüm bağlantı noktaları, eşleme bağlantılarından geçen müşteri trafiği içindir.
SNMP bağlantı noktası, yalnızca Cisco Emergency Responder'ın işlevselliğini desteklemesi için varsayılan olarak açıktır. Ayrılmış Örnek bulutta dağıtılan UC uygulamalarını izleyen iş ortaklarını veya müşterileri desteklemediğimizden, diğer UC uygulamaları için SNMP bağlantı noktasının açılmasına izin vermeyiz. |
5063 ila 5080 aralığındaki bağlantı noktalarının Cisco tarafından diğer bulut entegrasyonları için ayrılmış olması, iş ortağı veya müşteri yöneticilerinin yapılandırmalarında bu bağlantı noktalarını kullanmamaları önerilir. |
Protokol |
TCP/UDP |
Kaynak |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç | ||
---|---|---|---|---|---|---|---|---|
SSH'nın |
TCP |
İstemci |
UC uygulamaları
|
1023'ten büyük |
22 Aralık |
Yönetim |
||
TFTP'nin |
UDP |
Uç Noktası |
Unified CM |
1023'ten büyük |
69 kişi |
Eski Uç Nokta Desteği |
||
LDAP |
TCP |
UC uygulamaları |
Dış Dizin |
1023'ten büyük |
389 izleme |
Müşteri LDAP'siyle dizin senkronizasyonu |
||
HTTPS |
TCP |
tarayıcı |
UC uygulamaları |
1023'ten büyük |
443 |
Kendi kendine bakım ve yönetim arayüzleri için web erişimi |
||
Giden Posta (GÜVENLI) |
TCP |
UC Uygulaması |
CUCxn'nın |
1023'ten büyük |
587 izleme |
Belirlenmiş herhangi bir alıcıya güvenli mesajlar oluşturmak ve göndermek için kullanılır |
||
LDAP (GÜVENLI) |
TCP |
UC uygulamaları |
Dış Dizin |
1023'ten büyük |
636 izleme |
Müşteri LDAP'siyle dizin senkronizasyonu |
||
H323'ün |
TCP |
Ağ Geçici |
Unified CM |
1023'ten büyük |
1720 |
Çağrı sinyali |
||
H323'ün |
TCP |
Unified CM |
Unified CM |
1023'ten büyük |
1720 |
Çağrı sinyali |
||
SCCP için |
TCP |
Uç Noktası |
Unified CM, CUCxn |
1023'ten büyük |
2000 yılı |
Çağrı sinyali |
||
SCCP için |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'ten büyük |
2000 yılı |
Çağrı sinyali |
||
MGCP için |
UDP |
Ağ Geçici |
Ağ Geçici |
1023'ten büyük |
2427 izleme |
Çağrı sinyali |
||
MGCP Backhaul'ın |
TCP |
Ağ Geçici |
Unified CM |
1023'ten büyük |
2428 izleme |
Çağrı sinyali |
||
SCCP (GÜVENLI) |
TCP |
Uç Noktası |
Unified CM, CUCxn |
1023'ten büyük |
2443 izleme |
Çağrı sinyali |
||
SCCP (GÜVENLI) |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'ten büyük |
2443 izleme |
Çağrı sinyali |
||
Güven Doğrulaması |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
2445 izleme |
Uç noktalara güven doğrulama hizmeti sağlama |
||
CTI'nın |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
2748 izleme |
CTI uygulamaları (JTAPI/TSP) ve CTIManager arasındaki bağlantı |
||
Güvenli CTI |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
2749 izleme |
CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında güvenli bağlantı |
||
LDAP Küresel Kataloğu |
TCP |
UC Uygulamaları |
Dış Dizin |
1023'ten büyük |
3268 izleme |
Müşteri LDAP'siyle dizin senkronizasyonu |
||
LDAP Küresel Kataloğu |
TCP |
UC Uygulamaları |
Dış Dizin |
1023'ten büyük |
3269 izleme |
Müşteri LDAP'siyle dizin senkronizasyonu |
||
CAPF Hizmeti |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
3804 izleme |
IP Telefonlarına Yerel Olarak Önemli Sertifikalar (LSC) vermek için Sertifika Yetkilisi Proxy Işlevi (CAPF) dinleme bağlantı noktası |
||
SIP |
TCP |
Uç Noktası |
Unified CM, CUCxn |
1023'ten büyük |
5060 izleme |
Çağrı sinyali |
||
SIP |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'ten büyük |
5060 izleme |
Çağrı sinyali |
||
SIP (GÜVENLI) |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
5061 izleme |
Çağrı sinyali |
||
SIP (GÜVENLI) |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'ten büyük |
5061 izleme |
Çağrı sinyali |
||
SIP (OAUTH) |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
5090 izleme |
Çağrı sinyali |
||
XMPP için |
TCP |
Jabber Istemcisi |
Cisco IM&P |
1023'ten büyük |
5222 izleme |
Anlık Mesajlaşma ve Iletişim Durumu |
||
HTTP |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
6970 izleme |
Yapılandırma ve görüntüler uç noktalara indiriliyor |
||
HTTPS |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
6971 izleme |
Yapılandırma ve görüntüler uç noktalara indiriliyor |
||
HTTPS |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
6972 izleme |
Yapılandırma ve görüntüler uç noktalara indiriliyor |
||
HTTP |
TCP |
Jabber Istemcisi |
CUCxn'nın |
1023'ten büyük |
7080 izleme |
Sesli posta bildirimleri |
||
HTTPS |
TCP |
Jabber Istemcisi |
CUCxn'nın |
1023'ten büyük |
7443 izleme |
Sesli posta bildirimlerini güvence altına alma |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
1023'ten büyük |
7501 izleme |
Sertifika tabanlı kimlik doğrulaması için Kümeler Arası Arama Hizmeti (ILS) tarafından kullanılır |
||
HTTPS |
TCP |
Unified CM |
Unified CM |
1023'ten büyük |
7502 izleme |
Parola tabanlı kimlik doğrulaması için ILS tarafından kullanılır |
||
IMAP'nın |
TCP |
Jabber Istemcisi |
CUCxn'nın |
1023'ten büyük |
7993 izleme |
TLS üzerinden IMAP |
||
HTTP |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
8080 izleme |
Eski Uç Nokta Desteği için Dizin URI’si |
||
HTTPS |
TCP |
Tarayıcı, Uç Nokta |
UC uygulamaları |
1023'ten büyük |
8443 izleme |
Kendi kendine bakım ve yönetim arayüzleri için web erişimi, UDS |
||
HTTPS |
TCP |
Telefon |
Unified CM |
1023'ten büyük |
9443 izleme |
Kimliği doğrulanmış kişi arama |
||
HTTP'ler |
TCP |
Uç Noktası |
Unified CM |
1023'ten büyük |
9444'ün |
Kulaklık Yönetimi Özelliği |
||
Güvenli RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384 - 32767 arası * |
16384 - 32767 arası * |
Medya (ses) - Bekletme Müziği, Bildirim Cihazı, Konferans Köprüsü Yazılımı (Çağrı sinyallemesine göre açık) |
||
Güvenli RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384 - 32767 arası * |
16384 - 32767 arası * |
Medya (ses) - Bekletme Müziği, Bildirim Cihazı, Konferans Köprüsü Yazılımı (Çağrı sinyallemesine göre açık) |
||
KOBRALAR |
TCP |
İstemci |
CUCxn'nın |
1023'ten büyük |
20532 izleme |
Uygulama Paketini Yedekleme ve Geri Yükleme |
||
ICMP için |
ICMP için |
Uç Noktası |
UC uygulamaları |
yok |
yok |
Ping |
||
ICMP için |
ICMP için |
UC uygulamaları |
Uç Noktası |
yok |
yok |
Ping |
||
DNS | UDP ve TCP |
DNS yönlendirici |
Ayrılmış Örnek DNS sunucuları |
1023'ten büyük |
53 |
Ayrılmış Örnek DNS sunucularına Müşteri Öncül DNS ileticileri. Daha fazla bilgi için DNS gereksinimlerine bakın. |
||
* Bazı özel durumlar daha geniş bir aralık kullanabilir. |
Özel Örnek – OTT bağlantı noktaları
Mobil ve Uzaktan Erişim (MRA) kurulumu için Müşteriler ve Iş Ortakları tarafından aşağıdaki bağlantı noktası kullanılabilir:
Protokol |
TCP/UCP’nin |
Kaynak |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
GÜVENLI RTP/RTCP |
UDP |
Expressway C'nin |
İstemci |
1023'ten büyük |
36000-59999 |
MRA ve B2B çağrıları için Güvenli Ortam |
Çok Kiracı ve Ayrılmış Örnek arasında Inter-op SIP santrali (yalnızca kayıt tabanlı santral için)
Çok Kiracı ve Ayrılmış Örnek arasında bağlanan, kayıt tabanlı SIP santrali için müşterinin güvenlik duvarında aşağıdaki bağlantı noktalarının listesine izin verilmesi gerekir.
Protokol |
TCP/UCP’nin |
Kaynak |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
RTP/RTCP |
UDP |
Webex Calling Çok Kiracılı |
İstemci |
1023'ten büyük |
8000-48198 arası |
Webex Calling Çok Kiracılı Ortam |
Ayrılmış Örnek – UCCX bağlantı noktaları
Aşağıdaki bağlantı noktaları listesi, UCCX'i yapılandırmak için Müşteriler ve Iş Ortakları tarafından kullanılabilir.
Protokol |
TCP / UCP için |
Kaynak |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
SSH'nın |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
22 Aralık |
SFTP ve SSH'ı |
Informix |
TCP |
Istemci veya Sunucu |
UCCX'ın |
1023'ten büyük |
1504'ün |
Contact Center Express veritabanı bağlantı noktası |
SIP |
UDP ve TCP |
SIP GW veya MCRP sunucusu |
UCCX'ın |
1023'ten büyük |
5065 izleme |
Uzak GW ve MCRP düğümlerine iletişim |
XMPP için |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
5223'ün |
Finesse sunucusu ve özel üçüncü taraf uygulamalar arasında güvenli XMPP bağlantısı |
CVD'ın |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
6999 izleme |
CCX uygulamalarına düzenleyici |
HTTPS |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
7443 izleme |
HTTPS üzerinden iletişim için Finesse sunucusu ile aracı ve denetleyici masaüstleri arasında güvenli BOSH bağlantısı |
HTTP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8080 izleme |
Canlı veri raporlama istemcileri bir socket.IO sunucusuna bağlanır |
HTTP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8081 izleme |
Cisco Unified Intelligence Center web arabirimine erişmeye çalışan istemci tarayıcısı |
HTTP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8443 izleme |
Yönetici GUI, RTMT, SOAP üzerinden DB erişimi |
HTTPS |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8444'ün |
Cisco Unified Intelligence Center web arabirimi |
HTTPS |
TCP |
Tarayıcı ve REST istemcileri |
UCCX'ın |
1023'ten büyük |
8445 izleme |
Finesse için güvenli bağlantı noktası |
HTTPS |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8447 izleme |
HTTPS - Unified Intelligence Center çevrimiçi yardım |
HTTPS |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
8553 izleme |
Çoklu oturum açma (SSO) bileşenleri, Cisco IdS'nin çalışma durumunu bilmek için bu arayüze erişir. |
HTTP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
9080'nın sohbeti |
HTTP tetikleyicilerine veya belgelere / istemlere / gramer / canlı verilere erişmeye çalışan istemciler. |
HTTPS |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
9443 izleme |
HTTPS tetikleyicilerine erişmeye çalışan istemcilere yanıt vermek için kullanılan güvenli bağlantı noktası |
TCP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
12014 Çarşamba |
Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabileceği bağlantı noktasıdır |
TCP |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
12015 yılında |
Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabileceği bağlantı noktasıdır |
CTI'nın |
TCP |
İstemci |
UCCX'ın |
1023'ten büyük |
12028 izleme |
Üçüncü taraf CTI istemcisi CCX |
RTP( Ortam) |
TCP |
Uç Noktası |
UCCX'ın |
1023'ten büyük |
1023'ten büyük |
Ortam bağlantı noktası gerektiğinde dinamik olarak açıldı |
RTP( Ortam) |
TCP |
İstemci |
Uç Noktası |
1023'ten büyük |
1023'ten büyük |
Ortam bağlantı noktası gerektiğinde dinamik olarak açıldı |
Istemci güvenliği
Jabber ve Webex'i SIP OAuth ile güvence altına alma
Jabber ve Webex istemcilerinin kimliği, (MRA için de) sertifika yetkisi proxy işlevi (CAPF) etkinleştirilmesini gerektirmeyen, yerel olarak önemli bir sertifika (LSC) yerine bir OAuth belirteci aracılığıyla doğrulanır. Karışık modla veya modsuz çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5 sürümlerinde kullanıma sunulmuştur.
Cisco Unified CM 12.5'te, Telefon Güvenlik Profilinde SIP REGISTER'da tek Taşıma Katmanı Güvenliği (TLS) + OAuth belirteci kullanılarak LSC/CAPF olmadan şifrelemeyi etkinleştiren yeni bir seçeneğimiz var. Expressway-C düğümleri, Cisco Unified CM'ye sertifikalarındaki SN/SAN hakkında bilgi vermek için Yönetim XML Web Hizmeti (AXL) API'sini kullanır. Cisco Unified CM, karşılıklı TLS bağlantısı kurarken Exp-C sertifikasını doğrulamak için bu bilgileri kullanır.
SIP OAuth, bir uç nokta sertifikası (LSC) olmadan medya ve sinyal şifrelemesini etkinleştirir.
Cisco Jabber, yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı aracılığıyla Geçici bağlantı noktaları ve 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı noktası 6970, HTTP üzerinden indirilebilecek güvenli olmayan bir bağlantı noktasıdır.
SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu.
DNS gereklilikleri
Özel Örnek için Cisco, her bölgedeki hizmet için FQDN'yi şu biçimde sağlar: <customer>.<region>.wxc-di.webex.com örneğin, xyz.amer.wxc-di.webex.com.
‘Müşteri’ değeri, yönetici tarafından Ilk Kurulum Sihirbazı’nın (FTSW) bir parçası olarak sağlanır. Daha fazla bilgi için Ayrılmış Örnek Hizmeti Etkinleştirme bölümüne bakın.
Ayrılmış Örneğe bağlanan şirket içi cihazları desteklemek için bu FQDN’ye yönelik DNS kayıtlarının müşterinin dahili DNS sunucusundan çözümlenebilir olması gerekir. Çözünürlüğü kolaylaştırmak için müşterinin, bu FQDN için Ayrılmış Örnek DNS hizmetine işaret eden DNS sunucusunda bir Koşullu Yönlendirici yapılandırması gerekir. Ayrılmış Örnek DNS hizmeti bölgeseldir ve aşağıdaki tabloda Ayrılmış Örnek DNS Hizmeti IP Adresi'nde belirtildiği gibi aşağıdaki IP adresleri kullanılarak Ayrılmış Örnek ile eşleme yoluyla ulaşılabilir.
Bölge/DC | Ayrılmış Örnek DNS Hizmeti IP Adresi |
Koşullu Yönlendirme Örneği |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC'ın |
69.168.17.100'ün |
|
DFW |
69.168.17.228'nın sohbeti |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
LON'ın |
178.215.138.100 |
|
AMS'ın |
178.215.138.228 |
|
AB |
<customer>.eu.wxc-di.webex.com |
|
FRA'nın |
178.215.131.100 |
|
AMS'ın |
178.215.131.228 izlenme |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
GÜNAH |
103.232.71.100'ün |
|
TKY'nin |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL'ın |
178.215.128.100'ün |
|
SYD'nin |
178.215.128.228 izlenme |
Ping seçeneği, güvenlik nedeniyle yukarıda belirtilen DNS sunucusu IP adresleri için devre dışı bırakılır. |
Koşullu yönlendirme uygulanana kadar cihazlar, eşleme bağlantıları aracılığıyla müşterilerin dahili ağından Ayrılmış Örneğe kaydolamaz. Koşullu yönlendirme, MRA'yı kolaylaştırmak için gerekli tüm harici DNS kayıtları Cisco tarafından önceden sağlanacağı için Mobil ve Uzaktan Erişim (MRA) aracılığıyla kayıt için gerekli değildir.
Ayrılmış Örnek'te çağrı yazılım istemcisi olarak Webex uygulamasını kullanırken, her bir bölgenin Ses Hizmeti Etki Alanı (VSD) için Control Hub'da bir UC Yönetici Profilinin yapılandırılması gerekir. Daha fazla bilgi için Cisco Webex Control Hub’daki UC Yönetici Profillerine bakın. Webex uygulaması, herhangi bir son kullanıcı müdahalesi olmadan müşterinin Expressway Edge'ini otomatik olarak çözebilir.
Sesli Hizmet Etki Alanı, hizmet etkinleştirme tamamlandıktan sonra müşteriye iş ortağı erişim belgesinin bir parçası olarak sağlanacaktır. |
Telefon DNS çözünürlüğü için yerel bir yönlendirici kullanın
Kurumsal DNS sunucularına erişimi olmayan telefonlarda, DNS isteklerini Dedicated Instance bulut DNS'ine iletmek üzere yerel bir Cisco yönlendiricisi kullanmak mümkündür. Bu, yerel bir DNS sunucusu dağıtma ihtiyacını ortadan kaldırır ve önbelleğe alma dahil tam DNS desteği sağlar.
Örnek yapılandırma :
!
ip dns sunucusu
ip adı-sunucusu <DI DNS Sunucusu IP DC1> <DI DNS Sunucusu IP DC2>
!
Bu dağıtım modelinde DNS kullanımı telefonlara özeldir ve yalnızca müşterilerin Ayrılmış Örneği etki alanıyla FQDN’leri çözmek için kullanılabilir. |
Referanslar
-
Cisco Collaboration 12.x Çözüm Başvurusu Ağ Tasarımları (SRND), Güvenlik konusu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Cisco Unified Communications Manager için Güvenlik Kılavuzu: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html