Цей документ в першу чергу зосереджується на вимогах до мережі та безпеки для рішення Dedicated Instance, включаючи багаторівневий підхід до функцій та функціональних можливостей, які забезпечують безпечний фізичний доступ, безпечну мережу, безпечні кінцеві точки та безпечні додатки Cisco UC.
Мережеві вимоги до виділеного екземпляра
Webex Calling Dedicated Instance є частиною портфеля Cisco Cloud Calling, що базується на технології співпраці Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance пропонує рішення для передачі голосу, відео, повідомлень та мобільності з функціями та перевагами IP-телефонів Cisco, мобільних пристроїв та настільних клієнтів, які надійно підключаються до Dedicated Instance.
Ця стаття призначена для мережевих адміністраторів, зокрема адміністраторів брандмауера та проксі-безпеки, які хочуть використовувати виділений екземпляр у своїй організації.
Огляд безпеки: Безпека в шарах
Виділений екземпляр використовує багаторівневий підхід до безпеки. Шари включають:
Фізичний доступ
Мережа
Термінальні пристрої
Програми UC
Наступні розділи описують рівні безпеки в розгортаннях виділених екземплярів.
Фізична безпека
Важливо забезпечити фізичну безпеку приміщень Equinix Meet-Me та виділених центрів обробки даних Cisco. Коли фізична безпека порушена, можуть бути розпочаті прості атаки, такі як переривання обслуговування, шляхом відключення живлення комутаторів клієнта. З фізичним доступом зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також сприяє більш складним атакам, таким як атаки «людина посередині», тому другий рівень безпеки, мережева безпека, є критичним.
Самошифруючі диски використовуються в виділених центрах обробки даних екземплярів, які розміщують програми UC.
Щоб дізнатися більше про загальні правила безпеки, перегляньте документацію за наступним посиланням: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Мережева безпека
Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі Dedicated Instance (яка з 'єднується через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:
Окремий VLAN для голосу та даних
Увімкнути безпеку порту, яка обмежує кількість MAC-адрес, дозволених ДЛЯ кожного порту, проти затоплення таблиці CAM
Захист джерела IP від підроблених IP-адрес
Динамічна перевірка ARP (DAI) перевіряє протокол вирішення адрес (ARP) та безоплатну ARP (GARP) на наявність порушень (проти підробки ARP)
802.1x обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x)
Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів
Конфігурації портів брандмауера для блокування будь-якого іншого трафіку
Безпека кінцевих точок
Кінцеві точки Cisco підтримують стандартні функції безпеки, такі як підписана прошивка, захищене завантаження (вибрані моделі), встановлений виробником сертифікат (Mic) та підписані файли конфігурації, які забезпечують певний рівень безпеки для кінцевих точок.
Крім того, партнер або клієнт може забезпечити додаткову безпеку, наприклад:
Шифрування послуг IP-телефонії (через HTTPS) для таких послуг, як розширення мобільності
Видавати локально значущі сертифікати (LSC) з функції проксі-сертифікату центру (CAPF) або публічного центру сертифікації (CA)
Шифрувати файли конфігурації
Шифрування носіїв інформації та сигналізація
Вимкніть ці налаштування, якщо вони не використовуються: Порт ПК, Доступ VLAN голосу ПК, Безкоштовний ARP, Веб-доступ, Кнопка налаштувань, SSH, консоль
Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера уніфікованого керування, фальсифікації даних та фальсифікації сигналу виклику/медіапотоку.
Виділений екземпляр по мережі:
Встановлює та підтримує аутентифіковані потоки зв 'язку
Цифровий підпис файлів перед перенесенням файлу на телефон
Шифрує медіапотоки та сигнали дзвінків між уніфікованими IP-телефонами Cisco
Безпека за замовчуванням забезпечує наступні автоматичні функції безпеки для уніфікованих IP-телефонів Cisco:
Підпис файлів конфігурації телефону
Підтримка шифрування файлів конфігурації телефону
HTTPS з Tomcat та іншими веб-сервісами (MIDlets)
Для Unified CM Release 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку довіри сертифікатів (CTL).
Оскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам 'ять, Cisco Unified CM діє як віддалене сховище довіри через службу перевірки довіри (TVS), так що зберігання довіри сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат через файли CTL або ITL. Наявність центрального сховища довіри простіше керувати, ніж наявність сховища довіри на кожному IP-телефоні Cisco Unified.
ТЕЛЕВІЗОРИ дозволяють уніфікованим IP-телефонам Cisco автентифікувати сервери додатків, такі як служби EM, каталоги та MIDlet, під час встановлення HTTPS.
Файл початкового списку довіри (ITL) використовується для початкової безпеки, так що кінцеві точки можуть довіряти Cisco Unified CM. МРЖО не потребує явного ввімкнення жодних функцій безпеки. Файл ITL створюється автоматично під час встановлення кластера. Приватний ключ сервера Unified CM Trivial File Transfer Protocol (TFTP) використовується для підписання файлу ITL.
Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст ITL-файлу за допомогою команди CLI, admin:show itl.
IP-телефони Cisco потребують файлу ITL для виконання наступних завдань:
Безпечне спілкування з CAPF, необхідна умова для підтримки шифрування файлів конфігурації
Автентифікувати підпис конфігураційного файлу
Аутентифікація серверів додатків, таких як служби EM, каталог та MIDlet під час встановлення HTTPS за допомогою ТЕЛЕВІЗОРІВ
Аутентифікація пристроїв, файлів і сигналів залежить від створення файла довірчого списку сертифікатів (CTL), який створюється, коли партнер або клієнт встановлює і налаштовує клієнт довірчого списку сертифікатів Cisco.
Файл CTL містить записи для наступних серверів або маркерів безпеки:
Маркер безпеки системного адміністратора (SAST)
Служби Cisco CallManager і Cisco TFTP, які працюють на одному сервері
Функція проксі-сертифікації центру сертифікації (CAPF)
Сервер(и) TFTP
Брандмауер ASA
Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім 'я емітента, ім' я суб 'єкта, функцію сервера, ім' я DNS та IP-адресу для кожного сервера.
Безпека телефону з CTL забезпечує наступні функції:
Аутентифікація завантажених файлів TFTP (конфігурація, локаль, рингліст тощо) за допомогою ключа підпису
Шифрування файлів конфігурації TFTP за допомогою ключа підпису
Зашифрована сигналізація виклику для IP-телефонів
Зашифрований аудіо дзвінка (медіа) для IP-телефонів
Виділений екземпляр забезпечує реєстрацію кінцевої точки та обробку викликів. Сигналізація між уніфікованим CM Cisco і кінцевими точками базується на протоколі безпечного управління клієнтами (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій від/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).
Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіа-трафік від кінцевих точок Cisco та до них.
Безпечні програми UC
Змішаний режим увімкнено за замовчуванням у виділеному екземплярі.
Увімкнення змішаного режиму у виділеному екземплярі дає можливість виконувати шифрування сигнального та медіа-трафіку від кінцевих точок Cisco та до них.
У випуску Cisco Unified CM 12.5(1) для клієнтів Jabber та Webex було додано нову опцію для шифрування сигналів та носіїв на основі SIP OAuth замість змішаного режиму / CTL. Тому в Unified CM версії 12.5(1) SIP OAuth і SRTP можуть бути використані для шифрування сигналів і носіїв для клієнтів Jabber або Webex. Наразі для IP-телефонів Cisco та інших кінцевих точок Cisco потрібно увімкнути змішаний режим. Існує план додати підтримку SIP OAuth в кінцевих точках 7800/8800 в майбутньому випуску.
Cisco Unity Connection з 'єднується з Unified CM через порт TLS. Коли режим безпеки пристрою є незахищеним, Cisco Unity Connection з 'єднується з Unified CM через порт SCCP.
Щоб налаштувати безпеку для уніфікованих портів голосових повідомлень CM та пристроїв Cisco Unity, на яких працюють пристрої SCCP або пристрої Cisco Unity Connection, на яких працює SCCP, партнер може вибрати режим безпеки безпечного пристрою для порту. Якщо вибрати аутентифікований порт голосової пошти, відкриється TLS-з 'єднання, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім надсилає зашифровані голосові потоки між пристроями.
Щоб дізнатися більше про порти голосових повідомлень безпеки, зверніться до розділу: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Безпека для SRST, магістралей, шлюзів, КУБІВ/SBC
Шлюз Cisco Unified Survivable Remote Site Telephony (SRST) забезпечує обмежені завдання з обробки викликів, якщо уніфікований CM Cisco на виділеному екземплярі не може завершити виклик.
Безпечні шлюзи з підтримкою SRST містять самопідписаний сертифікат. Після того, як партнер виконує завдання конфігурації SRST в Unified CM Administration, Unified CM використовує TLS-з 'єднання для автентифікації за допомогою послуги постачальника сертифікатів у шлюзі з підтримкою SRST. Потім Unified CM отримує сертифікат від шлюзу з підтримкою SRST і додає сертифікат до бази даних Unified CM.
Після того, як партнер скидає залежні пристрої в Unified CM Administration, TFTP-сервер додає сертифікат шлюзу з підтримкою SRST до файлу cnf.xml телефону та надсилає файл на телефон. Потім захищений телефон використовує TLS-з 'єднання для взаємодії зі шлюзом з підтримкою SRST.
Рекомендується мати захищені магістралі для викликів, що надходять від Cisco Unified CM до шлюзу для вихідних викликів PSTN або проходять через Cisco Unified Border Element (CUBE).
Магістралі SIP можуть підтримувати безпечні виклики як для сигналізації, так і для носіїв; TLS забезпечує шифрування сигналізації, а SRTP забезпечує шифрування носіїв.
Захист зв 'язку між Cisco Unified CM і CUBE
Для безпечного зв 'язку між Cisco Unified CM і CUBE партнери/клієнти повинні використовувати або самопідписаний сертифікат, або сертифікати, підписані CA.
Для самопідписаних сертифікатів:
CUBE і Cisco Unified CM створюють самопідписані сертифікати
CUBE експортує сертифікат до Cisco Unified CM
Cisco Unified CM експортує сертифікат в КУБ
Для сертифікатів, підписаних CA:
Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (CA)
CA підписує його своїм закритим ключем, створюючи сертифікат ідентифікації
Клієнт встановлює список довірених кореневих і посередницьких сертифікатів ЦС та сертифікат ідентифікації
Безпека для віддалених кінцевих точок
З кінцевими точками мобільного та віддаленого доступу (MRA) сигналізація та носії завжди шифруються між кінцевими точками MRA та вузлами швидкісної автомагістралі. Якщо для кінцевих точок MRA використовується протокол Interactive Connectivity Establishment (ICE), необхідна сигналізація та шифрування медіа кінцевих точок MRA. Однак шифрування сигналізації та носіїв між Expressway-C та внутрішніми уніфікованими серверами CM, внутрішніми кінцевими точками або іншими внутрішніми пристроями вимагає змішаного режиму або SIP OAuth.
Cisco Expressway забезпечує безпечне проходження брандмауера та підтримку лінійної сторони для уніфікованих реєстрацій CM. Уніфікований CM забезпечує контроль викликів як для мобільних, так і для локальних кінцевих точок. Сигналізація проходить рішення Expressway між віддаленою кінцевою точкою та уніфікованим CM. Media проходить рішення Expressway і передається безпосередньо між кінцевими точками. Всі носії зашифровані між Expressway-C і мобільною кінцевою точкою.
Будь-яке рішення MRA вимагає Expressway та Unified CM, з MRA-сумісними м 'якими клієнтами та/або фіксованими кінцевими точками. Рішення може необов 'язково включати службу обміну повідомленнями, службу присутності та підключення до Unity.
Підсумок протоколу
У наступній таблиці наведено протоколи та пов 'язані служби, що використовуються в рішенні Unified CM.
Протокол |
Безпека |
Служба |
---|---|---|
SIP |
TLS |
Створення сесії: Реєстрація, запрошення тощо. |
HTTPS |
TLS |
Вхід, Надання/Конфігурація, Каталог, Візуальна голосова пошта |
Мультимедійний вміст |
SRTP |
ЗМІ: Аудіо, відео, спільний доступ до вмісту |
XMPP |
TLS |
Миттєвий обмін повідомленнями, Присутність, Федерація |
Для отримання додаткової інформації про конфігурацію MRA див.: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Параметри конфігурації
Виділений екземпляр надає партнеру гнучкість у налаштуванні послуг для кінцевих користувачів завдяки повному контролю конфігурацій другого дня. В результаті Партнер несе повну відповідальність за належне налаштування сервісу Dedicated Instance для середовища кінцевого користувача. Це включає, але не обмежується:
Вибір безпечних/незахищених дзвінків, безпечних/незахищених протоколів, таких як SIP/sSIP, http/https тощо, і розуміння будь-яких пов 'язаних з ними ризиків.
Для всіх MAC-адрес, не налаштованих як безпечні SIP у виділеному екземплярі, зловмисник може надіслати повідомлення SIP Register, використовуючи цю MAC-адресу, і мати можливість здійснювати SIP-дзвінки, що призводить до шахрайства. Первіс полягає в тому, що зловмисник може зареєструвати свій SIP-пристрій/програмне забезпечення в виділеному екземплярі без авторизації, якщо він знає MAC-адресу пристрою, зареєстрованого в виділеному екземплярі.
Політики викликів Expressway-E, правила перетворення та пошуку повинні бути налаштовані для запобігання шахрайству з оплатою дорожнього збору. Для отримання додаткової інформації про запобігання шахрайству за допомогою платних автомагістралей зверніться до розділу Безпека для швидкісної автомагістралі C та швидкісної автомагістралі E Співпраці SRND.
Конфігурація плану набору, щоб користувачі могли набирати лише ті пункти призначення, які дозволені, наприклад, заборонити національний/міжнародний набір, правильно маршрутизувати екстрені дзвінки тощо. Для отримання додаткової інформації про застосування обмежень за допомогою плану набору див. розділ «План набору» в розділі «Співпраця» SRND.
Вимоги до сертифікатів для безпечних з 'єднань у виділеному екземплярі
Для виділеного екземпляра Cisco надасть домен і підпише всі сертифікати для додатків UC за допомогою публічного центру сертифікації (CA).
Виділений екземпляр – номери портів та протоколи
Наступні таблиці описують порти та протоколи, які підтримуються в виділеному екземплярі. Порти, які використовуються для даного клієнта, залежать від розгортання та рішення клієнта. Протоколи залежать від уподобань клієнта (SCCP проти SIP), існуючих локальних пристроїв і рівня безпеки, щоб визначити, які порти будуть використовуватися в кожному розгортанні.
Виділений екземпляр не дозволяє перетворення мережевих адрес (NAT) між кінцевими точками та уніфікованим CM, оскільки деякі функції потоку викликів не працюватимуть, наприклад, функція середнього виклику. |
Виділений екземпляр – порти клієнтів
Порти, доступні для клієнтів - між локальним та виділеним екземпляром Клієнта, наведені в Таблиці 1 Порти клієнта виділеного екземпляра. Всі порти, перераховані нижче, призначені для передачі клієнтами трафіку через пірингові посилання.
Порт SNMP підтримується лише для функціональності CER, а не для будь-яких інших інструментів моніторингу третьої сторони. |
Порти в діапазоні від 5063 до 5080 зарезервовані компанією Cisco для інших хмарних інтеграцій, адміністраторам-партнерам або клієнтам рекомендується не використовувати ці порти в своїх конфігураціях. |
Протокол |
TCP/UCP |
Джерело |
Призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
SSH |
TCP |
Клієнт |
Програми UC |
Більше 1023 |
22 |
Адміністрування |
TFTP |
UDP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
69 |
Підтримка застарілих кінцевих точок |
LDAP |
TCP |
Програми UC |
Зовнішній каталог |
Більше 1023 |
389 |
Синхронізація каталогу з LDAP клієнта |
HTTPS |
TCP |
браузер |
Програми UC |
Більше 1023 |
443 |
Веб-доступ для самообслуговування та адміністративних інтерфейсів |
Вихідна пошта (БЕЗПЕЧНА) |
TCP |
Застосунок UC |
CUCxn |
Більше 1023 |
587 |
Використовується для створення та надсилання безпечних повідомлень будь-яким призначеним одержувачам |
LDAP (БЕЗПЕЧНИЙ) |
TCP |
Програми UC |
Зовнішній каталог |
Більше 1023 |
636 |
Синхронізація каталогу з LDAP клієнта |
H323 |
TCP |
Шлюз |
Unified CM |
Більше 1023 |
1720 |
Сигналізація виклику |
H323 |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
1720 |
Сигналізація виклику |
SCCP |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
2000 |
Сигналізація виклику |
SCCP |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
2000 |
Сигналізація виклику |
MGCP |
UDP |
Шлюз |
Шлюз |
Більше 1023 |
2427 |
Сигналізація виклику |
MGCP Blackhaul |
TCP |
Шлюз |
Unified CM |
Більше 1023 |
2428 |
Сигналізація виклику |
SCCP (БЕЗПЕЧНИЙ) |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
2443 |
Сигналізація виклику |
SCCP (БЕЗПЕЧНИЙ) |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
2443 |
Сигналізація виклику |
Верифікація довіри |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2445 |
Надання послуг перевірки довіри кінцевим точкам |
CTI |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2748 |
Зв 'язок між програмами CTI (JTAPI/TSP) та CTIManager |
Secure CTI |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2749 |
Безпечне з 'єднання між програмами CTI (JTAPI/TSP) та CTIManager |
Глобальний каталог LDAP |
TCP |
Програми UC |
Зовнішній каталог |
Більше 1023 |
3268 |
Синхронізація каталогу з LDAP клієнта |
Глобальний каталог LDAP |
TCP |
Програми UC |
Зовнішній каталог |
Більше 1023 |
3269 |
Синхронізація каталогу з LDAP клієнта |
CAPF Service |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
3804 |
Проксі-функція центру сертифікації (CAPF) Порт прослуховування для видачі локально значущих сертифікатів (LSC) на IP-телефони |
SIP |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
5060 |
Сигналізація виклику |
SIP |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
5060 |
Сигналізація виклику |
SIP (БЕЗПЕЧНИЙ) |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
5061 |
Сигналізація виклику |
SIP (БЕЗПЕЧНИЙ) |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
5061 |
Сигналізація виклику |
SIP (OAUTH) |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
5090 |
Сигналізація виклику |
XMPP |
TCP |
Клієнт Jabber |
Cisco IM&P |
Більше 1023 |
5222 |
Миттєвий обмін повідомленнями та присутність |
HTTP |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6970 |
Завантаження конфігурації та зображень на кінцеві точки |
HTTPS |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6971 |
Завантаження конфігурації та зображень на кінцеві точки |
HTTPS |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6972 |
Завантаження конфігурації та зображень на кінцеві точки |
HTTP |
TCP |
Клієнт Jabber |
CUCxn |
Більше 1023 |
7080 |
Сповіщення голосовою поштою |
HTTPS |
TCP |
Клієнт Jabber |
CUCxn |
Більше 1023 |
7443 |
Безпечні сповіщення голосової пошти |
HTTPS |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
7501 |
Використовується службою пошуку між кластерами (ILS) для автентифікації на основі сертифікатів |
HTTPS |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
7502 |
Використовується ILS для автентифікації на основі пароля |
IMAP |
TCP |
Клієнт Jabber |
CUCxn |
Більше 1023 |
7993 |
IMAP через TLS |
HTTP |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
8080 |
URI каталогу для застарілої підтримки кінцевої точки |
HTTPS |
TCP |
Браузер, кінцева точка |
Програми UC |
Більше 1023 |
8443 |
Веб-доступ для самообслуговування та адміністративних інтерфейсів, UDS |
HTTPS |
TCP |
Телефон |
Unified CM |
Більше 1023 |
9443 |
Пошук автентичних контактів |
Https |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
9444 |
Функція керування гарнітурою |
Безпечний RTP/SRTP |
UDP |
Unified CM |
Телефон |
від 16384 до 32767 * |
від 16384 до 32767 * |
Медіа (аудіо) - Музика на утриманні, сповіщувач, програмне забезпечення конференц-міст (відкритий на основі сигналізації виклику) |
Безпечний RTP/SRTP |
UDP |
Телефон |
Unified CM |
від 16384 до 32767 * |
від 16384 до 32767 * |
Медіа (аудіо) - Музика на утриманні, сповіщувач, програмне забезпечення конференц-міст (відкритий на основі сигналізації виклику) |
КОБРИ |
TCP |
Клієнт |
CUCxn |
Більше 1023 |
20532 |
Резервне копіювання та відновлення пакету програм |
ICMP |
ICMP |
Кінцевий пристрій |
Програми UC |
н/д |
н/д |
Перевірка зв’язку |
ICMP |
ICMP |
Програми UC |
Кінцевий пристрій |
н/д |
н/д |
Перевірка зв’язку |
* У деяких особливих випадках може використовуватися більший діапазон. |
Виділений екземпляр – OTT-порти
Наступний порт може використовуватися клієнтами та партнерами для налаштування мобільного та віддаленого доступу (MRA):
Протокол |
TCP/UCP |
Джерело |
Призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
БЕЗПЕЧНИЙ RTP/RTCP |
UDP |
Експрес С |
Клієнт |
Більше 1023 |
36000-59999 |
Безпечний носій для дзвінків MRA та B2B |
Виділений екземпляр – порти UCCX
Наступний список портів може бути використаний Клієнтами та Партнерами для налаштування UCCX.
Протокол |
TCP / UCP |
Джерело |
Призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
SSH |
TCP |
Клієнт |
UCCX |
Більше 1023 |
22 |
SFTP і SSH |
Informix |
TCP |
Клієнт або сервер |
UCCX |
Більше 1023 |
1504 |
Уніфікований порт бази даних CCX |
SIP |
UDP й TCP |
Сервер SIP GW або MCRP |
UCCX |
Більше 1023 |
5065 |
Зв 'язок з віддаленими вузлами GW та MCRP |
XMPP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
5223 |
Безпечне з 'єднання XMPP між сервером Finesse та спеціальними сторонніми додатками |
ССЗ |
TCP |
Клієнт |
UCCX |
Більше 1023 |
6999 |
Редактор для програм CCX |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
7443 |
Захищене з 'єднання BOSH між сервером Finesse та робочими столами агента та керівника для зв' язку через HTTPS |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8080 |
Клієнти звітів Live-даних підключаються до сервера socket.IO |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8081 |
Клієнтський браузер намагається отримати доступ до веб-інтерфейсу Cisco Unified Intelligence Center |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8443 |
Доступ до адміністратора GUI, RTMT, DB через SOAP |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8444 |
Веб-інтерфейс Cisco Unified Intelligence Center |
HTTPS |
TCP |
Браузер І клієнти REST |
UCCX |
Більше 1023 |
8445 |
Безпечний порт для Finesse |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8447 |
HTTPS - онлайн-допомога Єдиного розвідувального центру |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8553 |
Компоненти єдиного входу (SSO) отримують доступ до цього інтерфейсу, щоб знати робочий стан Cisco IDS. |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
9080 |
Клієнти, які намагаються отримати доступ до http тригерів або документів / підказки / граматики /даних в реальному часі. |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
9443 |
Безпечний порт, який використовується для реагування на клієнтів, які намагаються отримати доступ до тригерів HTTPS |
TCP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12014 |
Це порт, де клієнти звітності в реальному часі можуть підключатися до сервера socket.IO |
TCP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12015 |
Це порт, де клієнти звітності в реальному часі можуть підключатися до сервера socket.IO |
CTI |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12028 |
Сторонній клієнт CTI для CCX |
RTP(ЗМІ) |
TCP |
Кінцевий пристрій |
UCCX |
Більше 1023 |
Більше 1023 |
Медіапорт відкривається динамічно за необхідності |
RTP(ЗМІ) |
TCP |
Клієнт |
Кінцевий пристрій |
Більше 1023 |
Більше 1023 |
Медіапорт відкривається динамічно за необхідності |
Безпека клієнта
Захист Jabber і Webex за допомогою SIP OAuth
Клієнти Jabber та Webex аутентифікуються через OAuth-токен замість локально значущого сертифіката (LSC), який не вимагає включення функції проксі-сертифіката (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.
У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрувати без LSC/CAPF, використовуючи єдиний захист транспортного рівня (TLS) + OAuth-токен в РЕГІСТРІ SIP. Вузли Expressway-C використовують API адміністративної веб-служби XML (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C при встановленні взаємного TLS-з 'єднання.
SIP OAuth дозволяє шифрувати носії та сигнали без сертифіката кінцевої точки (LSC).
Cisco Jabber використовує ефемерні порти і захищені порти 6971 і 6972 через з 'єднання HTTPS з TFTP-сервером для завантаження конфігураційних файлів. Порт 6970 є незахищеним портом для завантаження через http.
Докладніше про конфігурацію SIP OAuth: Режим SIP OAuth.
Вимоги до DNS
Для виділеного екземпляра Cisco надає FQDN для служби в кожному регіоні з наступним форматом<customer>. .wxc-di.webex.com<region>, наприклад, xyz.amer.wxc-di.webex.com.
Значення «клієнт» надається адміністратором як частина майстра налаштування першого разу (FTSW). Для отримання додаткової інформації див. розділ Активація служби виділених екземплярів.
Записи DNS для цієї FQDN повинні бути розв 'язуваними з внутрішнього DNS-сервера клієнта для підтримки локальних пристроїв, що підключаються до виділеного екземпляра. Щоб полегшити вирішення, клієнту потрібно налаштувати умовний експедитор для цього FQDN на своєму DNS-сервері, який вказує на службу DNS виділеного екземпляра. Служба Dedicated Instance DNS є регіональною і може бути досягнута через вузол до Dedicated Instance, використовуючи наступні IP-адреси, як зазначено в таблиці нижче Dedicated Instance DNS Service IP Address.
Регіон/округ Колумбія |
Виділений екземпляр IP-адреса служби DNS | Приклад умовного переадресації |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
SJC |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
ЛОН |
178.215.138.100 |
|
AMS |
178.215.138.228 |
|
ЄС |
<customer>.eu.wxc-di.webex.com |
|
FRA |
178.215.131.100 |
|
AMS |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
ГРІХ |
103.232.71.100 |
|
TKY |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
MEL |
178.215.128.100 |
|
СІД |
178.215.128.228 |
Параметр ping вимкнено для вищезгаданих IP-адрес DNS-сервера з міркувань безпеки. |
Поки умовна переадресація не буде виконана, пристрої не зможуть зареєструватися в виділеному екземплярі з внутрішньої мережі клієнтів через пірингові посилання. Умовна переадресація не потрібна для реєстрації через мобільний та віддалений доступ (MRA), оскільки всі необхідні зовнішні записи DNS для полегшення MRA будуть попередньо передбачені компанією Cisco.
При використанні програми Webex в якості програмного клієнта для виклику на виділеному екземплярі профіль менеджера UC потрібно налаштувати в Центрі керування для домену голосової служби (VSD) кожного регіону. Для отримання додаткової інформації зверніться до профілів UC Manager в Cisco Webex Control Hub. Додаток Webex зможе автоматично вирішувати проблему Expressway Edge клієнта без будь-якого втручання кінцевого користувача.
Домен голосової служби буде наданий клієнту як частина документа про доступ партнера після завершення активації служби. |
Посилання
Cisco Collaboration 12.x Solution Reference Network Designs (SRND), тема безпеки: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
Посібник з безпеки для менеджера уніфікованих комунікацій Cisco: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html