- Ana Sayfa
- /
- Makale
Adanmış Örnek ağ ve güvenlik gereksinimleri
Özel Örnek çözümü için ağ ve güvenlik gereksinimleri, güvenli fiziksel erişim, ağ, uç noktalar ve Cisco UC uygulamaları sağlayan özellikler ve işlevlere katmanlı bir yaklaşımdır. Ağ gereksinimlerini tanımlar ve uç noktalarınızı hizmetlere bağlamak için kullanılan adresleri, bağlantı noktalarını ve protokolleri listeler.
Özel Örnek için ağ gereksinimleri
Webex Calling Örneği, Cisco Unified Communications Manager (Cisco Unified CM) işbirliği teknolojisi tarafından desteklenen Cisco Bulut Çağrısı portföyünün bir parçasıtır. Özel Örnek, Özel Örnek'e güvenli bir şekilde bağlanan Cisco IP telefonları, mobil cihazları ve masaüstü istemcilerinin özellikleri ve avantajlarıyla ses, video, mesajlaşma ve mobil kullanım çözümleri sunar.
Bu makale, ağ yöneticilerine, özellikle de kuruluşlarında Adanmış Örneği kullanmak isteyen güvenlik duvarı ve proxy güvenliği yöneticilerine yöneliktir.
Güvenliğe genel bakış: Katmanlarda güvenlik
Adanmış Örnek , güvenlik için katmanlı bir yaklaşım kullanır. Katman şunları içerir:
-
Fiziksel erişim
-
Ağ
-
Uç Noktalar
-
UC uygulamaları
Aşağıdaki kısımlarda, Adanmış Örnek dağıtımlarında güvenlik katmanlarını açıklanmaktadır.
Fiziksel güvenlik
Equinix Meet-Me Oda konumları ve Cisco Adanmış Örnek Veri Merkezi özellikleri için fiziksel güvenlik sağlamak önemlidir. Fiziksel güvenlik ihlal olduğunda, müşterinin geçişlerine güç kapatarak hizmet kesintisi gibi basit saldırıları başlatabilirsiniz. Fiziksel erişimle, saldırganlar sunucu cihazlarına erişim elde edeebiliyor, parolaları sıfırebiliyor ve anahtarlara erişim eldeebiliyor. Fiziksel erişim, aynı zamanda orta katman insani saldırıları gibi daha fazla saldırı saldırısına da yardımcı olur. Bu nedenle ikinci güvenlik katmanı, ağ güvenliği kritik bir öneme sahip olur.
Otomatik Şifreleme sürücüleri, UC uygulamalarını barındıran Adanmış Örnek Veri Merkezlerinde kullanılır.
Genel güvenlik uygulamaları hakkında daha fazla bilgi için aşağıdaki konumdaki belgelere bakın: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Ağ güvenliği
İş ortaklarının, tüm ağ öğelerinin Özel Örnek altyapısında (Equinix üzerinden bağlanan) güvenli olduğundan emin olması gerekir. İş ortağının, şunları gibi en iyi güvenlik uygulamalarını sağlamakla sorumlu olur:
-
Ses ve veri için ayrı VLAN
-
Bağlantı noktası başına izin verilen MAC adreslerinin sayısını CAM tablosuna sınırlamayla sınırlayan Bağlantı Noktası Güvenliğini etkinleştirin
-
Kodlu IP adreslerine karşı IP Kaynağı
-
Dinamik ARP İncelemesi (DAI), ihlaller için adres çözüm protokolü (ARP) ve gereksiz ARP (GARP) denetimlerini inceler (ARP ihlallerine karşı)
-
802.1x Atanan VLAN'lerde cihazların kimlik doğrulaması için ağ erişimini sınırlar (telefonlar 802'i destekler.1x)
-
Ses paketlerinin uygun işaretlenmesi için hizmet kalitesi (QoS) yapılandırması
-
Başka bir trafiğin engellenmesi için güvenlik duvarı bağlantı noktaları yapılandırmaları
Uç nokta güvenliği
Cisco uç noktaları, uç noktaları için belirli bir güvenlik seviyesi sağlayan, imzalı donanım yazılımı, güvenli başlatma (seçili modeller), üreticinin yüklü sertifikası (MIKROFON) ve imzalı yapılandırma dosyaları gibi varsayılan güvenlik özelliklerini destekler.
Ayrıca, bir iş ortağı veya müşteri şunların gibi ek güvenliği etkinleştir olabilir:
-
Extension Mobility gibi hizmetler için IP telefon hizmetlerini (HTTPS aracılığıyla) şifrele
-
Sertifika yetkilisi proxy işlevinden (CAPF) veya genel sertifika yetkililerinden (CA) yerel olarak önemli sertifikaları (LSCs) sorun
-
Yapılandırma dosyalarını şifrele
-
Ortamı ve sinyali şifrele
-
Bu ayarları kullan değil ise devre dışı bırak: PC bağlantı noktası, PC Voice VLAN Erişimi, Gratuitous ARP, Web Erişimi, Ayarlar düğmesi, SSH, konsol
Özel Örnek'te güvenlik mekanizmalarının uygulanması, telefonların ve Unified CM sunucusunun kimlik hırsızlığını, veri izinsiz kişilerini ve çağrı sinyali / ortam akışının izinsiz olarak çalınmasını önlemektedir.
Ağ üzerinden Adanmış Örnek:
-
Kimliği doğrulanmış iletişim akışlarını kurma ve koruma
-
Dosyayı telefona aktarmadan önce dosyaları dijital olarak imzalar
-
Ip telefonları arasında ortam akışlarını ve çağrı Cisco Unified şifreler
Güvenlik, varsayılan olarak Ip telefonları için aşağıdaki Cisco Unified özellikleri sağlar:
-
Telefon yapılandırma dosyalarının imzalanması
-
Telefon yapılandırma dosyası şifreleme desteği
-
Tomcat ve diğer Web hizmetleriyle HTTPS (MIDlet'ler)
Unified CM Sürüm 8.0 için bu güvenlik özellikleri varsayılan olarak Sertifika Güven Listesi (CTL) istemcisi çalıştırmadan sağlanır.
Güven doğrulama hizmetiAğda çok sayıda telefon olduğu ve IP telefonlarının sınırlı belleği olduğu için Cisco Unified CM, Güven Doğrulama Hizmeti (TVS) aracılığıyla uzaktan güven deposu olarak hareket verir ve böylece her bir telefona sertifika güven deposu yerleştirilmaz. Cisco IP telefonları, CTL veya ITL dosyalarıyla bir imza veya sertifika doğrulayamamalarından dolayı doğrulama için TVS sunucusuyla iletişime geçin. Merkezi bir güven deposuna sahip olmak, her bir ip telefonunda güven mağazasının olması Cisco Unified kolaydır.
TVS, Cisco Unified IP telefonlarının, HTTPS hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını sağlar.
Ilk güven listesiİlk Güven Listesi (ITL) dosyası, başlangıç güvenliği için kullanılır, böylece uç noktaları CM'Cisco Unified güvenebilir. ITL'nin özel olarak etkinleştirilmesi için herhangi bir güvenlik özelliğine ihtiyacı değildir. KÜME yüklenirken ITL dosyası otomatik olarak oluşturulur. Unified CM Önemsiz Dosya Aktarım Protokolü (TFTP) sunucusunun özel anahtarı, ITL dosyasını imzalamak için kullanılır.
CM Cisco Unified sunucusu güvenli olmayan modda olduğunda, ITL dosyası desteklenen her Cisco IP telefonuna indirilir. İş ortağı CLI komutunu kullanarak bir ITL dosyasının içeriğini 3. yöneticisi:show itl dosyasını 3.
Cisco IP telefonlarının aşağıdaki görevleri gerçekleştirmek için ITL dosyasına ihtiyacı vardır:
-
Yapılandırma dosyası şifrelemeyi destekleyen bir ön koşul olan CAPF ile güvenli bir şekilde iletişim kurma
-
Yapılandırma dosyası imzasının kimliğini doğrula
-
TVS kullanımı sırasında EM hizmetleri, dizin ve MIDlet gibi uygulama sunucularının kimlik doğrulamasını yapma
Cihaz, dosya ve sinyal kimlik doğrulaması, iş ortağı veya müşteri Cisco Sertifika Güven Listesi İstemcisini oluşturduğunda ve yapılandırıldığında oluşturulan Sertifika Güven Listesi (CTL) dosyasının oluşturulmasını kullanır.
CTL dosyası, aşağıdaki sunucular veya güvenlik belirteçleri için girişler içerir:
-
Sistem Yöneticisi Güvenlik Belirteci (SAST)
-
Aynı sunucuda çalışan Cisco CallManager ve Cisco TFTP hizmetleri
-
Sertifika Yetkilisi Proxy İşlevi (CAPF)
-
TFTP sunucularını
-
ASA güvenlik duvarı
CTL dosyası; sunucu sertifikası, genel anahtar, seri numarası, imza, sertifika adı, konu adı, sunucu işlevi, DNS adı ve her bir sunucu için IP adresi içerir.
CTL ile telefon güvenliği aşağıdaki işlevleri sağlar:
-
İmzalama anahtarı kullanarak TFTP indirilen dosyaların (yapılandırma, yerel ayarlar, zil listesi, gibi) kimlik doğrulaması
-
İmzalama anahtarı kullanarak TFTP yapılandırma dosyalarının şifrelanması
-
IP telefonları için şifreli çağrı sinyali
-
IP telefonları için şifreli çağrı sesi (ortam)
Özel Örnek uç nokta kaydı ve çağrı işleme sağlar. Cisco Unified CM ve uç noktaları arasındaki sinyal, Secure Skinny Client Control Protocol (SCCP) veya Oturum Başlatma Protokolü (SIP) tabanlıdır ve Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelenir. Uç noktaların/uç noktaların medyası, Gerçek Zamanlı Taşıma Protokolü'ne (RTP) dayalıdır ve Güvenli RTP (SRTP) kullanılarak da şifrelenir.
Unified CM'de karışık modun etkinleştirilmesi, Cisco uç noktalarına ve sinyal ve medya trafiğinin şifrelenir.
Güvenli UC uygulamaları
Özel Örnekte karışık mod etkinleştirmeKarma mod, Ayrılmış Örnekte varsayılan olarak etkindir.
Adanmış Örnek'te karışık modun etkinleştirilmesi, Cisco uç noktalarına ve gelen sinyal ve ortam trafiğinin şifrelenirken gerçekleştirebilme özelliğini sağlar.
Cisco Unified CM 12.5(1) sürümüne, Jabber ve diğer istemciler için karışık mod / CTL yerine SIP OAuth'a göre sinyal ve medya şifrelemeyi etkinleştiren yeni bir seçenek Webex eklendi. Bu nedenle, Unified CM 12.5(1) sürümlerinde, SIP OAuth ve SRTP, Jabber veya birleşik istemciler için sinyal ve medyayı etkinleştirmek Webex kullanılabilir. Karışık modun etkinleştirilmesi, şu anda Cisco IP telefonları ve diğer Cisco uç noktaları için gerekli olarak devam etmektedir. Gelecekteki sürümlerde SIP OAuth için 7800/8800 uç noktalarında destek ekleme planı vardır.
Sesli mesajlaşma güvenliğiCisco Unity Connection TLS bağlantı noktası üzerinden Unified CM'ye bağlanır. Cihaz güvenlik modu güvenli değil olduğunda, Cisco Unity Connection SCCP bağlantı noktası üzerinden Unified CM'ye bağlanır.
SCCP veya SCCP çalıştıran Cisco Unity Connection cihazları çalıştıran Unified CM sesli mesajlaşma bağlantı noktaları ve Cisco Unity cihazları için güvenliği yapılandırmak üzere, bir iş ortağı bağlantı noktası için güvenli bir cihaz güvenlik modu seçebilir. Kimliği doğrulanmış sesli mesaj bağlantı noktası seçerseniz, karşılıklı sertifika değişimi kullanarak cihazların kimliklerini doğrular (her cihaz diğer cihazın sertifikasını kabul eder) bir TLS bağlantısı açılır. Şifrelenmiş bir sesli posta bağlantı noktası seçerseniz, sistem önce cihazları doğrular ve ardından cihazlar arasında şifreli sesli akışlar gönderir.
Güvenlik Sesli mesajlaşma bağlantı noktaları hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
SRST, Trunks, Ağ Geçitleri, CUBE/SBC için Güvenlik
Yalnızca Cisco Unified Uzak Site Telefonu (SRST) etkin ağ geçidi, Adanmış Örnekte Cisco Unified CM'nin çağrıyı tamamlayamazsa sınırlı çağrı işleme görevleri sağlar.
Güvenli SRST'nin etkin olduğu ağ geçitleri kendinden imzalı bir sertifika içerir. İş ortağı Unified CM Yönetimi'ni SRST yapılandırma görevlerini gerçekleştirdikten sonra, Unified CM, SRST'nin etkin olduğu ağ geçidinde Sertifika Sağlayıcısı hizmetiyle kimlik doğrulaması yapmak için bir TLS bağlantısı kullanır. Unified CM, sertifikayı SRST'nin etkin olduğu ağ geçidinden alır ve sertifikayı Unified CM veritabanına ekler.
İş ortağı Unified CM Yönetimi'ne bağlı cihazları sıfırladıktan sonra, TFTP sunucusu SRST'nin etkin olduğu ağ geçidi sertifikasını telefon cnf.xml dosyasına ekler ve dosyayı telefona gönderir. Güvenli bir telefon, SRST'nin etkin olduğu ağ geçidiyle etkileşim kurmak için TLS bağlantısı kullanır.
Cisco Unified CM'den ağ geçidine giden veya Cisco Unified Sınır Öğesinden (CUBE) geçiş yapmak için PSTN trunk'lara sahip Cisco Unified önerilir.
SIP trunks hem sinyal hem de ortam için güvenli çağrıları desteklemektedir; TLS sinyal şifrelemesi ve SRTP medya şifrelemesi sağlar.
Cisco Unified CM ve CUBE arasındaki iletişimlerin güvenliğini sağlama
CM ve CUBE Cisco Unified arasında güvenli iletişim için iş ortaklarının/müşterilerin kendinden imzalı sertifika veya sertifika yetkilisi imzalı sertifikalar kullanmaları gerekir.
Otomatik olarak imzalanan sertifikalar için:
-
CUBE ve Cisco Unified CM kendinden imzalı sertifikalar oluştur
-
CUBE, sertifikayı CM'Cisco Unified aktarıyor
-
Cisco Unified CM, sertifikayı CUBE olarak dışa aktarıyor
Sertifika yetkilisi imzalı sertifikalar için:
-
İstemci bir anahtar çifti oluşturmakta ve Sertifika Yetkilisine (CA) bir Sertifika İmzalama Talebi (CSR) gönderir
-
Ca, bunu özel anahtarıyla imzalar ve bir Kimlik Sertifikası oluşturma
-
İstemci, güvenilen CA Kök ve Aracı Sertifikaları ile Kimlik Sertifikası listesini yüklür
Uzak uç noktalar için güvenlik
Mobil ve Remote Access (MRA) uç noktaları ile sinyal ve ortam her zaman MRA uç noktaları ve diğer Expressway şifrelenir. MRA uç noktaları için Etkileşimli Bağlantı Etkileşim (ICE) protokolü kullanılırsa MRA uç noktalarının sinyal ve medya şifrelemesi gereklidir. Ancak Expressway-C ile dahili Unified CM sunucuları, dahili uç noktaları veya diğer dahili cihazlar arasında sinyal ve medyanın şifrelenirken karışık mod veya SIP OAuth gerekir.
Cisco Expressway, Unified CM kayıtları için güvenli güvenlik duvarı geçişi ve hat tarafı desteği sağlar. Unified CM, hem mobil hem de şirket içi uç noktalar için çağrı kontrolü sağlar. Sinyal, uzak uç Expressway Unified CM arasında geçiş sağlar. Ortam, Expressway çözümü üzerinden geçiş sağlar ve doğrudan uç noktaları arasında geçiştir. Tüm ortamlar, Expressway-C ve mobil uç nokta arasında şifrelenir.
MrA çözümünün her Expressway, MRA uyumlu yazılım istemcileri ve/veya sabit uç noktalarıyla Uyumlu ve Unified CM gerektirir. Çözüm isteğe bağlı olarak IM ve Presence Hizmeti ve Unity bağlantısı içerebilir.
Protokol özeti
Aşağıdaki tablo, Unified CM çözümünde kullanılan protokolleri ve ilişkili hizmetleri gösterir.
Protocol |
Güvenlik |
Hizmet |
---|---|---|
SIP |
TLS |
Oturumun Neden Olduğu Oturum: Kaydolma, Davet etme vb. |
HTTPS |
TLS |
Oturum Açma, Sağlama/Yapılandırma, Dizin, Görsel Sesli Mesaj |
Ortam |
SRTP |
Medya: Ses, Video, İçerik Paylaşımı |
XMPP |
TLS |
Anlık Mesajlaşma, Presence, Federasyon |
MRA yapılandırması hakkında daha fazla bilgi için bkz.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Yapılandırma seçenekleri
Özel Örnek, İş Ortağına, iki günlük yapılandırmaların tam kontrolüyle son kullanıcılara hizmetleri özelleştirme esnekliği sunar. Sonuç olarak, son kullanıcının ortamı için Adanmış Örnek hizmetinin doğru şekilde yapılandırmasından yalnızca İş Ortağı sorumludur. Bu şunları içerir, ancak bunlarla sınırlı değildir:
-
Güvenli/güvenli olmayan çağrıların, SIP/sSIP, http/https vb. gibi güvenli/güvenli protokollerin seçimi ve ilişkili riskleri anlama.
-
Adanmış Örnek'te güvenli SIP olarak yapılandırılmamış tüm MAC adresleri için bir saldırgan, bu MAC adresini kullanarak SIP Kaydı mesajı gönderebilir ve SIP çağrısı yapmalarını sağlar ve bu nedenle ücretli sahtekarlıkla sonuç çıkar. Bunun tek kuralı, adanmış örnekte kayıtlı bir cihazın MAC adresini biliyorsa saldırganların SIP aygıtlarını/ yazılımlarını yetki olmadan Adanmış Örnekler'e kaydedabilmesidir.
-
Expressway-E çağrı politikaları, dönüşümü ve arama kurallarını, ücretli sahtekarlıkları önlemek için yapılandırmalıdır. Expressway'leri kullanarak ücretsiz sahtekarlıkları önleme hakkında daha fazla bilgi için İş Birliği SRND'nin Expressway C ve Expressway-E bölümü için Güvenlik'e bakın.
-
Kullanıcıların yalnızca izin verilen hedefleri aramasını sağlamak için arama planı yapılandırması; örneğin, ulusal/uluslararası aramayı yasaklamak, acil durum çağrıları doğru şekilde yönlendirilmek vb. Arama planını kullanarak kısıtlamaları uygulama hakkında daha fazla bilgi için Iş Birliği SRND'nin Arama Planı bölümüne bakın.
Özel Örnekte güvenli bağlantılar için sertifika gereksinimleri
Özel Örnek için Cisco etki alanını sağlayacak ve genel bir Sertifika Yetkilisi (CA) kullanarak UC Uygulamaları için tüm sertifikaları imzalar.
Özel Örnek – bağlantı noktası numaraları ve protokoller
Aşağıdaki tablolarda, Adanmış Örnek'te desteklenen bağlantı noktaları ve protokoller açık almaktadır. Belirli bir müşteri için kullanılan bağlantı noktaları, Müşterinin dağıtımına ve çözümüne bağlıdır. Protokoller müşterinin tercihine (SCCP ve SIP), mevcut şirket içi cihazlara ve her dağıtımda hangi bağlantı noktalarının kullanılacağını belirlemek için hangi güvenlik düzeyine bağlıdır.
Çağrı akışı özelliklerinden bazıları çalışmayacağı için Ayrılmış Örnek, çağrı ortası özelliği gibi uç noktalar ile Unified CM arasında Ağ Adresi Çevirisine (NAT) izin vermiyor.
Özel Örnek – Müşteri Portları
Müşteriler için kullanılabilir portlar - Müşteri şirket içi ve Adanmış Örnek arasında Tablo 1 Adanmış Örnek Müşteri Portları gösterilir. Aşağıda listelenen tüm bağlantı noktaları, eşleme bağlantılarından geçen müşteri trafiğine sahiptir.
SNMP bağlantı noktası, varsayılan olarak yalnızca Cisco Emergency Responder’ın işlevselliğini desteklemek üzere açıktır. Özel Örnek bulutunda dağıtılan UC uygulamalarını izleyen iş ortaklarını veya müşterileri desteklemediğimizden, diğer UC uygulamaları için SNMP bağlantı noktasının açılmasına izin vermiyoruz.
5063 ila 5080 aralığındaki bağlantı noktalarının diğer bulut entegrasyonları için Cisco tarafından ayrılmış olması, iş ortağı veya müşteri yöneticilerinin yapılandırmalarında bu bağlantı noktalarını kullanmamaları önerilir.
Protokol |
TCP/UDP |
Source |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
Ssh |
TCP |
müşteri |
UC uygulamaları Cisco Expressway uygulamalarına izin verilmiyor. |
1023'den büyük |
22 |
Yönetim |
Tftp |
UDP |
Uç Noktası |
Unified CM |
1023'den büyük |
69 |
Eski Uç Nokta Desteği |
LDAP |
TCP |
UC uygulamaları |
Harici Dizin |
1023'den büyük |
389 |
Müşteri LDAP'sı ile dizin senkronizasyonu |
HTTPS |
TCP |
tarayıcı |
UC uygulamaları |
1023'den büyük |
443 |
Kendi kendine bakım ve yönetim arayüzleri için web erişimi |
Giden Posta (GÜVENLİ) |
TCP |
UC Uygulaması |
CUCxn |
1023'den büyük |
587 |
Belirtilen alıcılara güvenli mesajlar oluşturmak ve göndermek için kullanılır |
LDAP (GÜVENLI) |
TCP |
UC uygulamaları |
Harici Dizin |
1023'den büyük |
636 |
Müşteri LDAP'sı ile dizin senkronizasyonu |
H323 |
TCP |
Ağ Geçici |
Unified CM |
1023'den büyük |
1720 |
Çağrı sinyali |
H323 |
TCP |
Unified CM |
Unified CM |
1023'den büyük |
1720 |
Çağrı sinyali |
SCCP |
TCP |
Uç Noktası |
Birleşik CM, CUCxn |
1023'den büyük |
2000 |
Çağrı sinyali |
SCCP |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'den büyük |
2000 |
Çağrı sinyali |
mgcp |
UDP |
Ağ Geçici |
Ağ Geçici |
1023'den büyük |
2427 |
Çağrı sinyali |
MGCP |
TCP |
Ağ Geçici |
Unified CM |
1023'den büyük |
2428 |
Çağrı sinyali |
SCCP (GÜVENLI) |
TCP |
Uç Noktası |
Birleşik CM, CUCxn |
1023'den büyük |
2443 |
Çağrı sinyali |
SCCP (GÜVENLI) |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'den büyük |
2443 |
Çağrı sinyali |
Güven Doğrulama |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
2445 |
Uç noktalara güven doğrulama hizmeti sağlama |
Ctı |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
2748 |
CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında bağlantı |
Güvenli CTI |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
2749 |
CTI uygulamaları (JTAPI/TSP) ve CTIManager arasında güvenli bağlantı |
LDAP Genel Kataloğu |
TCP |
UC Uygulamaları |
Harici Dizin |
1023'den büyük |
3268 |
Müşteri LDAP'sı ile dizin senkronizasyonu |
LDAP Genel Kataloğu |
TCP |
UC Uygulamaları |
Harici Dizin |
1023'den büyük |
3269 |
Müşteri LDAP'sı ile dizin senkronizasyonu |
CAPF Hizmeti |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
3804 |
Sertifika Yetkilisi Proxy İşlevi (CAPF) dinleme bağlantı noktası: Yerel Olarak Önemli Sertifikalar (LSC) IP telefonlarına verme |
SIP |
TCP |
Uç Noktası |
Birleşik CM, CUCxn |
1023'den büyük |
5060 |
Çağrı sinyali |
SIP |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'den büyük |
5060 |
Çağrı sinyali |
SIP (GÜVENLI) |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
5061 |
Çağrı sinyali |
SIP (GÜVENLI) |
TCP |
Unified CM |
Unified CM, Ağ Geçidi |
1023'den büyük |
5061 |
Çağrı sinyali |
SIP (OAUTH) |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
5090 |
Çağrı sinyali |
XMPP |
TCP |
Jabber İstemcisi |
Cisco IM&P |
1023'den büyük |
5222 |
Anlık Mesajlaşma ve Iletişim Durumu |
HTTP |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
6970 |
Yapılandırma ve görüntüler uç noktalara indir indirme |
HTTPS |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
6971 |
Yapılandırma ve görüntüler uç noktalara indir indirme |
HTTPS |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
6972 |
Yapılandırma ve görüntüler uç noktalara indir indirme |
HTTP |
TCP |
Jabber İstemcisi |
CUCxn |
1023'den büyük |
7080 |
Sesli mesaj bildirimleri |
HTTPS |
TCP |
Jabber İstemcisi |
CUCxn |
1023'den büyük |
7443 |
Güvenli sesli mesaj bildirimleri |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023'den büyük |
7501 |
Sertifika tabanlı kimlik doğrulaması içinCluster Lookup Service (ILS) tarafından kullanılır |
HTTPS |
TCP |
Unified CM |
Unified CM |
1023'den büyük |
7502 |
Parola tabanlı kimlik doğrulama için ILS tarafından kullanılır |
IMAP |
TCP |
Jabber İstemcisi |
CUCxn |
1023'den büyük |
7993 |
TLS üzerinden IMAP |
HTTP |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
8080 |
Eski Uç Nokta Desteği için Dizin URI’si |
HTTPS |
TCP |
Tarayıcı, Uç Nokta |
UC uygulamaları |
1023'den büyük |
8443 |
Kendi kendine bakım ve yönetim arayüzleri, UDS için web erişimi |
HTTPS |
TCP |
Telefon |
Unified CM |
1023'den büyük |
9443 |
Kimliği doğrulanmış kişi arama |
HTTP’ler |
TCP |
Uç Noktası |
Unified CM |
1023'den büyük |
9444 |
Kulaklık Yönetimi Özelliği |
Güvenli RTP/SRTP |
UDP |
Unified CM |
Telefon |
16384- 32767 * |
16384- 32767 * |
Ortam (ses) - Müziği Basılı Tutun, Sesli Yayın, Yazılım Konferans Köprüsü (Çağrı sinyaline bağlı olarak açın) |
Güvenli RTP/SRTP |
UDP |
Telefon |
Unified CM |
16384- 32767 * |
16384- 32767 * |
Ortam (ses) - Müziği Basılı Tutun, Sesli Yayın, Yazılım Konferans Köprüsü (Çağrı sinyaline bağlı olarak açın) |
Kobralar |
TCP |
müşteri |
CUCxn |
1023'den büyük |
20532 |
Uygulama Paketini Yedekleme ve Geri Yükleme |
ICMP |
ICMP |
Uç Noktası |
UC uygulamaları |
Yok |
Yok |
Ping |
ICMP |
ICMP |
UC uygulamaları |
Uç Noktası |
Yok |
Yok |
Ping |
DNS | UDP ve TCP |
DNS iletme |
Özel Örnek DNS sunucuları |
1023'den büyük |
53 |
Özel Örnek DNS sunucularına Müşteri Tesis DNS yönlendirmeleri. Daha fazla bilgi için bkz. DNS gereksinimleri . |
* Belirli özel durumlar daha geniş bir aralık kullanabilir. |
Özel Örnek – OTT bağlantı noktaları
Aşağıdaki bağlantı noktası, Mobil ve Uzaktan Erişim (MRA) kurulumu için Müşteriler ve Iş Ortakları tarafından kullanılabilir:
Protocol |
TCP/UCP |
Source |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
GÜVENLI RTP/RTCP |
UDP |
Ekspres Yol C |
İstemci |
1023'den büyük |
36000-59999 |
MRA ve B2B çağrıları için Güvenli Ortam |
Çok Kiracı ve Ayrılmış Örnek arasındaki inter-op SIP santrali (yalnızca kayıt tabanlı santral için)
Çoklu kiracı ve Ayrılmış Örnek arasında bağlanan kayıt tabanlı SIP santrali için müşterinin güvenlik duvarında aşağıdaki bağlantı noktalarının listesine izin verilmelidir.
Protocol |
TCP/UCP |
Source |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling Çoklu Kiracı |
İstemci |
1023'den büyük |
8000-48198 |
Webex Calling Çoklu Kiracıdan gelen medya |
Özel Örnek – UCCX bağlantı noktaları
Müşteriler ve İş Ortakları tarafından UCCX yapılandırması için aşağıdaki bağlantı noktaları listesi kullanılabilir.
Protocol |
TCP / UCP |
Source |
Hedef |
Kaynak Bağlantı Noktası |
Hedef Bağlantı Noktası |
Amaç |
---|---|---|---|---|---|---|
Ssh |
TCP |
müşteri |
UCCX |
1023'den büyük |
22 |
SFTP ve SSH |
Informix |
TCP |
İstemci veya Sunucu |
UCCX |
1023'den büyük |
1504 |
Contact Center Express veritabanı bağlantı noktası |
SIP |
UDP ve TCP |
SIP GW veya MCRP sunucusu |
UCCX |
1023'den büyük |
5065 |
Uzak GW ve MCRP düğümleriyle iletişim |
XMPP |
TCP |
müşteri |
UCCX |
1023'den büyük |
5223 |
Finesse sunucusu ve özel üçüncü taraf uygulamalar arasında güvenli XMPP bağlantısı |
Cvd |
TCP |
müşteri |
UCCX |
1023'den büyük |
6999 |
CCX uygulamaları için Düzenleyici |
HTTPS |
TCP |
müşteri |
UCCX |
1023'den büyük |
7443 |
HTTPS üzerinden iletişim için Finesse sunucusu ve aracı ve denetleyici masaüstleri arasında güvenli BOSH bağlantısı |
HTTP |
TCP |
müşteri |
UCCX |
1023'den büyük |
8080 |
Canlı veri raporlama istemcileri bir socket.IO sunucusuna bağlanır |
HTTP |
TCP |
müşteri |
UCCX |
1023'den büyük |
8081 |
Cisco Unified Intelligence Center web arayüzüne erişmeye çalışan istemci tarayıcısı |
HTTP |
TCP |
müşteri |
UCCX |
1023'den büyük |
8443 |
Yönetici GUI, RTMT, SOAP üzerinden veritabanı erişimi |
HTTPS |
TCP |
müşteri |
UCCX |
1023'den büyük |
8444 |
Cisco Unified Intelligence Center web arayüzü |
HTTPS |
TCP |
Tarayıcı ve REST istemcileri |
UCCX |
1023'den büyük |
8445 |
Finesse için güvenli bağlantı noktası |
HTTPS |
TCP |
müşteri |
UCCX |
1023'den büyük |
8447 |
HTTPS - Unified Intelligence Center çevrimiçi yardımı |
HTTPS |
TCP |
müşteri |
UCCX |
1023'den büyük |
8553 |
Çoklu oturum açma (SSO) bileşenleri, Cisco IdS'nin çalışma durumunu bilmek için bu arayüze erişir. |
HTTP |
TCP |
müşteri |
UCCX |
1023'den büyük |
9080 |
HTTP tetikleyicileri veya belgeleri / istemleri / dilbilgisi / canlı verilere erişmeye çalışan istemciler. |
HTTPS |
TCP |
müşteri |
UCCX |
1023'den büyük |
9443 |
HTTPS tetikleyicilerine erişmeye çalışan istemcilere yanıt vermek için kullanılan güvenli bağlantı noktası |
TCP |
TCP |
müşteri |
UCCX |
1023'den büyük |
12014 |
Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabildiği bağlantı noktasıdır |
TCP |
TCP |
müşteri |
UCCX |
1023'den büyük |
12015 |
Bu, canlı veri raporlama istemcilerinin socket.IO sunucusuna bağlanabildiği bağlantı noktasıdır |
Ctı |
TCP |
müşteri |
UCCX |
1023'den büyük |
12028 |
CCX’e üçüncü taraf CTI istemcisi |
RTP (Ortam) |
TCP |
Uç Noktası |
UCCX |
1023'den büyük |
1023'den büyük |
Ortam bağlantı noktası gerektiğinde dinamik olarak açılır |
RTP (Ortam) |
TCP |
müşteri |
Uç Noktası |
1023'den büyük |
1023'den büyük |
Ortam bağlantı noktası gerektiğinde dinamik olarak açılır |
Istemci güvenliği
Jabber ve SIP OAuth Webex Jabber'ı Koruma
Jabber ve Webex istemcilerinin kimlik doğrulaması, yerel olarak önemli bir sertifika (LSC) yerine bir OAuth belirteci ile kimlik doğrulamasılanır; bu belirteç, sertifika yetkilisi proxy'si işlevini (CAPF) etkinleştirmesini (MRA için de) gerektirmez. Karışık mod ile veya karışık mod olmadan çalışan SIP OAuth, Cisco Unified CM 12.5(1), Jabber 12.5 ve Expressway X12.5'te başlatıldı.
Cisco Unified CM 12.5'te, Telefon Güvenliği Profilinde SIP REGISTER'da tek Aktarım Katmanı Güvenliği (TLS) + OAuth belirteci kullanarak LSC/CAPF olmadan şifrelemeyi sağlayan yeni bir seçeneğimiz var. Expressway-C düğümleri, sertifikalarında SN/SAN'nin cm'sini Cisco Unified yönetici XML Web Hizmeti (AXL) API'sini kullanır. Cisco Unified CM, bu bilgileri bir ağ bağlantısı kuruluken Exp-C karşılıklı TLS kullanır.
SIP OAuth, uç nokta sertifikası (LSC) olmadan ortam ve sinyal şifrelemesi sağlar.
Cisco Jabber, yapılandırma dosyalarını indirmek için TFTP sunucusuna HTTPS bağlantısı aracılığıyla Geçici bağlantı noktaları ve güvenli bağlantı noktaları 6971 ve 6972 bağlantı noktalarını kullanır. Bağlantı Noktası 6970, HTTP aracılığıyla indirilmeyen bir bağlantı noktasıdır.
SIP OAuth yapılandırması hakkında daha fazla ayrıntı: SIP OAuth Modu.
DNS gereklilikleri
Özel Örnek için Cisco, her bölgedeki hizmet için FQDN’yi şu formatta sağlar: ..wxc-di.webex.com , örneğin xyz.amer.wxc-di.webex.com.
'müşteri' değeri, İlk Kurulum Sihirbazı'nın (FTSW) parçası olarak yönetici tarafından sağlanır. Daha fazla bilgi için Adanmış Örnek Hizmeti Etkinleştirme'ye bakın.
Bu etki FQDN için DNS kayıtlarının, Adanmış Örneği'ne bağlanan şirket içi cihazları desteklemek için müşterinin dahili DNS sunucusundan çözülebilir olması gerekir. Çözünürlüğü kolaylaştırmak için müşterinin bu çözüm için Dns sunucusunda Adanmış Örnek DNS hizmetini FQDN Bir Koşullu Yönlendirmeci yapılandırması gerekir. Ayrılmış Örnek DNS hizmeti bölgeseldir ve aşağıdaki tabloda Ayrılmış Örnek DNS Hizmeti IP Adresi’nde belirtilen aşağıdaki IP adresleri kullanılarak Ayrılmış Örnek ile eşleştirilerek ulaşılabilir.
Bölge/DC | Adanmış Örnek DNS Hizmeti IP Adresi |
Koşullu Yönlendirme Örneği |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
AB |
<customer>.eu.wxc-di.webex.com |
|
Fransa Cumhuriyeti |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Günah |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
Birleşik Krallık |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
adam |
178.215.135.228 |
Ping seçeneği, güvenlik nedeniyle yukarıda bahsedilen DNS sunucusu IP adresleri için devre dışıdır.
Koşullu yönlendirme yeri gelene kadar cihazlar eşleme bağlantıları aracılığıyla müşterilerin dahili ağın Adanmış Örneğine kaydolamayacaktır. MRA'yı kolaylaştırmak için gerekli tüm harici DNS kayıtları Cisco tarafından ön tedarik e-postası olarak mobil ve Remote Access (MRA) ile kayıt için gerekli değildir.
Özel Örnek'te Webex yazılım istemciniz olarak çağrı yazılım istemcisi olarak kullanılırken, her bir bölgenin Sesli Hizmet Etki Alanı (VSD) için Control Hub'da bir UC Yönetici Profili yapılandırılması gerekir. Daha fazla bilgi için proje yöneticisi profillerini Cisco Webex Control Hub. Bu Webex, son kullanıcı müdahalesi olmadan müşterinin uç Expressway Edge'i otomatik olarak çözebilir.
Sesli Hizmet Etki Alanı, hizmet etkinleştirme tamamlandıktan sonra müşteriye iş ortağı erişim belgesinin bir parçası olarak sağlanacaktır.
Telefon DNS çözünürlüğü için yerel bir yönlendirici kullanın
Kurumsal DNS sunucularına erişimi olmayan telefonlarda, DNS isteklerini Ayrılmış Örnek bulut DNS'ine iletmek için yerel bir Cisco yönlendirici kullanmak mümkündür. Bu, yerel bir DNS sunucusu dağıtım ihtiyacını ortadan kaldırır ve önbelleğe alma dahil tam DNS desteği sağlar.
Örnek yapılandırma :
!
ip dns sunucusu
ip adı-sunucusu
!
Bu dağıtım modelindeki DNS kullanımı telefonlara özeldir ve FQDN’leri yalnızca müşterinin Ayrılmış Örneğindeki etki alanıyla çözümlemek için kullanılabilir.
Referanslar
-
Cisco İş Birliği 12.x Çözüm Referansı Ağ Bağlantısı (SRND), Güvenlik konu başlığı: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Güvenlik Kılavuzu Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html