- Головна
- /
- Стаття
Вимоги до виділеної мережі екземплярів і безпеки
Вимоги до мережі та безпеки для рішення виділеного екземпляра — це шаровий підхід до функцій і функцій, які забезпечують безпечний фізичний доступ, мережу, кінцеві пристрої та програми Cisco UC. Він описує вимоги до мережі та перелічує адреси, порти та протоколи, які використовуються для підключення кінцевих точок до служб.
Вимоги до мережі для виділеного екземпляра
Webex Calling Dedicated Instance є частиною портфоліо хмарних дзвінків Cisco, що працює на основі технології співпраці Cisco Unified Communications Manager (Cisco Unified CM). Dedicated Instance пропонує рішення для голосового зв'язку, відео, обміну повідомленнями та мобільності з функціями та перевагами IP-телефонів Cisco, мобільних пристроїв та настільних клієнтів, які безпечно підключаються до спеціального екземпляра.
Ця стаття призначена для адміністраторів мережі, зокрема брандмауера та адміністраторів безпеки проксі-серверів, які хочуть використовувати виділений екземпляр у своїй організації.
Огляд безпеки: Безпека в шарах
Спеціальний екземпляр використовує багаторівневий підхід для безпеки. До несучок відносяться:
-
Фізичний доступ
-
Мережа
-
Термінальні пристрої
-
Заявки на UC
У наведених нижче розділах описано рівні безпеки під час розгортання виділених екземплярів .
Фізична безпека
Важливо забезпечити фізичну безпеку місць розташування кімнат Equinix Meet-Me та спеціалізованих центрів обробки даних Cisco . Коли фізична безпека порушена, можна ініціювати прості атаки, такі як порушення обслуговування шляхом відключення живлення на комутаторах клієнта. Маючи фізичний доступ, зловмисники могли отримати доступ до серверних пристроїв, скинути паролі та отримати доступ до комутаторів. Фізичний доступ також полегшує більш складні атаки, такі як атаки "людина посередині", тому другий рівень безпеки, мережева безпека, має вирішальне значення.
Диски, що самошифруються, використовуються у спеціальних прикладних центрах обробки даних, де розміщені програми UC.
Додаткові відомості про загальні практики безпеки див. в документації за таким розташуванням: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Безпека мережі
Партнери повинні переконатися, що всі елементи мережі захищені в інфраструктурі виділеного екземпляра (яка підключається через Equinix). Відповідальність партнера полягає в забезпеченні найкращих практик безпеки, таких як:
-
Окрема VLAN для голосу і даних
-
Увімкніть безпеку порту, яка обмежує кількість MAC-адрес, дозволених для кожного порту, проти затоплення таблиці CAM
-
Захист джерела IP від підроблених IP-адрес
-
Динамічна інспекція ARP (DAI) вивчає протокол адресної резолюції (ARP) та безоплатний ARP (GARP) на предмет порушень (проти підміни ARP)
-
802. обмежує доступ до мережі для автентифікації пристроїв на призначених VLAN (телефони підтримують 802.1x 1x)
-
Налаштування якості обслуговування (QoS) для відповідного маркування голосових пакетів
-
Конфігурації портів брандмауера для блокування будь-якого іншого трафіку
Безпека кінцевих пристроїв
Кінцеві точки Cisco підтримують функції безпеки за замовчуванням, такі як підписана мікропрограма, безпечне завантаження (вибрані моделі), встановлений сертифікат виробника (MIC) та підписані файли конфігурації, які забезпечують певний рівень безпеки кінцевих точок.
Крім того, партнер або клієнт може забезпечити додаткову безпеку, таку як:
-
Шифрування послуг IP-телефонів (через HTTPS) для таких служб, як Розширена мобільність
-
Видавати локально значущі сертифікати (LSC) від проксі-функції центру сертифікації (CAPF) або державного центру сертифікації (CA)
-
Шифрування конфігураційних файлів
-
Шифрування носіїв і сигналізації
-
Вимкніть ці настройки, якщо вони не використовуються: Порт ПК, Голосовий доступ до VLAN для ПК, Безкоштовний ARP, Веб-доступ, Кнопка налаштувань, SSH, консоль
Впровадження механізмів безпеки у виділеному екземплярі запобігає крадіжці особистих даних телефонів та сервера Unified CM, фальсифікації даних та підробці сигналів дзвінків / медіа-потоку.
Виділений екземпляр через мережу:
-
Встановлює та підтримує автентифіковані потоки зв'язку
-
Цифровий підпис файлів перед перенесенням файлу на телефон
-
Шифрує медіапотоки та сигналізацію дзвінків між уніфікованими IP-телефонами Cisco
Безпека за замовчуванням надає такі функції автоматичної безпеки для уніфікованих IP-телефонів Cisco:
-
Підписання файлів конфігурації телефону
-
Підтримка шифрування файлів конфігурації телефону
-
HTTPS з Tomcat та іншими веб-сервісами (MIDlets)
Для уніфікованого випуску CM 8.0 пізніше ці функції безпеки надаються за замовчуванням без запуску клієнта списку надійності сертифікатів (CTL).
Служба перевірки довіриОскільки в мережі є велика кількість телефонів, а IP-телефони мають обмежену пам'ять, Cisco Unified CM діє як віддалене сховище довіри через Службу перевірки довіри (TVS), так що надійне сховище сертифікатів не потрібно розміщувати на кожному телефоні. IP-телефони Cisco звертаються до сервера TVS для перевірки, оскільки вони не можуть перевірити підпис або сертифікат за допомогою файлів CTL або ITL. Мати центральний магазин довіри легше керувати, ніж мати магазин довіри на кожному IP-телефоні Cisco Unified.
TVS дозволяє уніфікованим IP-телефонам Cisco автентифікувати сервери додатків, такі як EM-служби, каталог і MIDlet, під час створення HTTPS.
Початковий список довіриФайл початкового списку довіри (ITL) використовується для початкового захисту, щоб кінцеві точки могли довіряти Cisco Unified CM. ITL не потребує явного ввімкнення будь-яких функцій безпеки. ITL-файл автоматично створюється при установці кластера. Закритий ключ сервера уніфікованого тривіального протоколу передачі файлів CM (TFTP) використовується для підписання файлу ITL.
Коли кластер або сервер Cisco Unified CM знаходиться в незахищеному режимі, файл ITL завантажується на кожен підтримуваний IP-телефон Cisco. Партнер може переглядати вміст файлу ITL за допомогою команди CLI, admin:show itl.
IP-телефонам Cisco файл ITL потрібен для виконання наступних завдань:
-
Безпечний зв'язок із CAPF, що є необхідною умовою для підтримки шифрування конфігураційного файлу
-
Автентифікація підпису файлу конфігурації
-
Автентифікуйте сервери додатків, такі як EM-служби, каталоги та MIDlet під час створення HTTPS за допомогою телевізорів
Автентифікація пристрою, файлів і сигналів залежить від створення файлу списку надійності сертифікатів (CTL), який створюється, коли партнер або клієнт інсталює та настроює клієнта списку довіри сертифіката Cisco.
Файл CTL містить записи для наступних серверів або маркерів безпеки:
-
Токен безпеки системного адміністратора (SAST)
-
Cisco CallManager і TFTP-сервіси Cisco, які працюють на одному сервері
-
Проксі-функція центру сертифікації (CAPF)
-
TFTP-сервери
-
Брандмауер ASA
Файл CTL містить сертифікат сервера, відкритий ключ, серійний номер, підпис, ім'я емітента, ім'я суб'єкта, функцію сервера, ім'я DNS та IP-адресу для кожного сервера.
Безпека телефону за допомогою CTL забезпечує наступні функції:
-
Аутентифікація завантажених файлів TFTP (конфігурація, локаль, список дзвінків і так далі) за допомогою ключа підписання
-
Шифрування файлів конфігурації TFTP за допомогою ключа підпису
-
Зашифрована сигналізація викликів для IP-телефонів
-
Зашифрований аудіовиклик (медіа) для IP-телефонів
Спеціальний екземпляр забезпечує реєстрацію кінцевих точок та обробку викликів. Сигналізація між Cisco Unified CM і кінцевими точками базується на захищеному протоколі управління клієнтами (SCCP) або протоколі ініціації сеансу (SIP) і може бути зашифрована за допомогою безпеки транспортного рівня (TLS). Носій з/до кінцевих точок базується на транспортному протоколі реального часу (RTP), а також може бути зашифрований за допомогою Secure RTP (SRTP).
Увімкнення змішаного режиму на Unified CM дозволяє шифрувати сигнальний та медіатрафік з кінцевих точок Cisco та до них.
Безпечні застосунки UC
Увімкнення змішаного режиму в виділеному екземпляріЗмішаний режим увімкнено за замовчуванням у виділеному екземплярі.
Увімкнення змішаного режиму у виділеному екземплярі дає можливість виконувати шифрування сигнального та медіатрафіку від кінцевих точок Cisco та до них.
У cisco Unified CM release 12.5(1) була додана нова опція включення шифрування сигналів і носіїв на основі SIP OAuth замість змішаного режиму / CTL для клієнтів Jabber і Webex. Тому в уніфікованому випуску CM 12.5(1) SIP OAuth і SRTP можуть використовуватися для включення шифрування для сигналізації та носіїв для клієнтів Jabber або Webex. Увімкнення змішаного режиму продовжує вимагатися для IP-телефонів Cisco та інших кінцевих точок Cisco в цей час. У майбутньому випуску планується додати підтримку SIP OAuth в кінцевих точках 7800/8800.
Безпека служби голосових повідомленьCisco Unity Connection підключається до уніфікованої CM через порт TLS. Коли режим безпеки пристрою не захищений, Cisco Unity Connection підключається до Unified CM через порт SCCP.
Щоб налаштувати безпеку для портів голосових повідомлень Unified CM і пристроїв Cisco Unity, на яких працюють пристрої SCCP або Cisco Unity Connection, що працюють під управлінням SCCP, партнер може вибрати для порту безпечний режим безпеки пристрою. Якщо вибрати автентифікований порт голосової пошти, відкриється підключення TLS, яке автентифікує пристрої за допомогою взаємного обміну сертифікатами (кожен пристрій приймає сертифікат іншого пристрою). Якщо вибрати зашифрований порт голосової пошти, система спочатку автентифікує пристрої, а потім відправляє зашифровані голосові потоки між пристроями.
Щоб отримати додаткові відомості про порти голосових повідомлень системи безпеки, зверніться до: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Безпека для SRST, стовбурів, шлюзів, CUBE / SBC
Уніфікований живучий шлюз віддаленого сайту Cisco (SRST) забезпечує обмежені завдання обробки викликів, якщо уніфікована CM Cisco на виділеному екземплярі не може завершити виклик.
Захищені шлюзи з підтримкою SRST містять сертифікат із власним підписом. Після того, як партнер виконує завдання конфігурації SRST в уніфікованому адмініструванні CM, Unified CM використовує з'єднання TLS для автентифікації зі службою постачальника сертифікатів у шлюзі, що підтримує SRST. Після цього Unified CM отримує сертифікат від шлюзу, що підтримує SRST, і додає сертифікат до Єдиної бази даних CM.
Після скидання партнером залежних пристроїв в Unified CM Administration, TFTP-сервер додає сертифікат шлюзу з підтримкою SRST до файлу cnf.xml телефону і відправляє файл на телефон. Потім захищений телефон використовує з'єднання TLS для взаємодії зі шлюзом із підтримкою SRST.
Рекомендується мати захищені стовбури для виклику, що походить від Cisco Unified CM до шлюзу для вихідних викликів ТМЗК або проходження через Cisco Unified Border Element (CUBE).
SIP-транки можуть підтримувати безпечні виклики як для сигналізації, так і для носіїв; TLS забезпечує шифрування сигналів, а SRTP забезпечує шифрування медіа.
Захист зв’язку між Cisco Unified CM і CUBE
Для безпечного зв'язку між Cisco Unified CM і CUBE партнерам/клієнтам необхідно використовувати сертифікат із власним підписом або сертифікати, підписані CA.
Для самопідписаних сертифікатів:
-
CUBE і Cisco Unified CM генерують самопідписані сертифікати
-
CUBE експортує сертифікат в Cisco Unified CM
-
Cisco Unified CM експортує сертифікат в CUBE
Для сертифікатів, підписаних CA:
-
Клієнт генерує пару ключів і надсилає запит на підписання сертифіката (CSR) до центру сертифікації (ЦС)
-
ЦС підписує його своїм закритим ключем, створюючи посвідчення особи
-
Клієнт інсталює список надійних кореневих і посередницьких сертифікатів ЦС, а також посвідчення особи
Безпека для віддалених кінцевих пристроїв
З кінцевими точками мобільного та віддаленого доступу (MRA) сигналізація та медіа завжди шифруються між кінцевими точками MRA та вузлами швидкісної дороги. Якщо для кінцевих точок MRA використовується протокол інтерактивного підключення (ICE), потрібна сигналізація та шифрування медіа кінцевих точок MRA. Однак шифрування сигналізації та носіїв між Expressway-C та внутрішніми серверами Unified CM, внутрішніми кінцевими точками або іншими внутрішніми пристроями вимагає змішаного режиму або SIP OAuth.
Cisco Expressway забезпечує безпечну підтримку обходу брандмауера та лінійної сторони для реєстрації уніфікованих CM. Уніфікована CM забезпечує контроль викликів як для мобільних, так і для локальних кінцевих точок. Сигналізація перетинає рішення Expressway між віддаленою кінцевою точкою та уніфікованою CM. Медіафайли перетинають рішення швидкісної дороги та ретранслюються безпосередньо між кінцевими точками. Усі носії зашифровані між швидкісною дорогою C та мобільною кінцевою точкою.
Будь-яке рішення MRA вимагає швидкісної дороги та уніфікованої CM, з MRA-сумісними м'якими клієнтами та/або фіксованими кінцевими точками. Рішення за бажанням може включати миттєві повідомлення, службу присутності та з'єднання Unity.
Зведення протоколу
У наведеній нижче таблиці показано протоколи та пов'язані з ними служби, які використовуються в рішенні Unified CM.
Протокол |
Безпека |
Служба |
---|---|---|
SIP |
TLS |
Створення сесії: Зареєструватися, запросити тощо. |
HTTPS |
TLS |
Вхід, Підготовка / Конфігурація, Каталог, Візуальна голосова пошта |
Мультимедійний вміст |
СТО |
ЗМІ: Обмін аудіо, відео, вмістом |
XMPP |
TLS |
Обмін миттєвими повідомленнями, присутність, федерація |
Для отримання додаткової інформації про конфігурацію MRA дивіться: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
варіанти конфігурації
Спеціальний екземпляр надає партнеру гнучкість для налаштування послуг для кінцевих користувачів за допомогою повного контролю над конфігураціями другого дня. Як наслідок, Партнер несе повну відповідальність за належну конфігурацію служби Dedicated Instance для середовища кінцевого користувача. Сюди входить, але не обмежується:
-
Вибір безпечних / незахищених дзвінків, безпечних / незахищених протоколів, таких як SIP / sSIP, http / https тощо, і розуміння будь-яких пов'язаних з цим ризиків.
-
Для всіх MAC-адрес, не налаштованих як secure-SIP у виділеному екземплярі, зловмисник може надіслати повідомлення SIP-реєстру, використовуючи цю MAC-адресу, і мати можливість здійснювати SIP-дзвінки, що призводить до шахрайства з оплатою проїзду. Передумовою є те, що зловмисник може зареєструвати свій SIP-пристрій/програмне забезпечення у виділеному екземплярі без дозволу, якщо йому відома MAC-адреса пристрою, зареєстрованого у спеціальному екземплярі .
-
Правила трансформації та пошуку дзвінків Expressway-E, які слід налаштувати, щоб запобігти шахрайству з оплатою проїзду. Для отримання додаткової інформації про запобігання платному шахрайству за допомогою швидкісних доріг зверніться до розділу Безпека для швидкісної дороги C та Expressway-E співпраці SRND.
-
Конфігурація абонентської групи, щоб користувачі могли набирати лише місця призначення, яким дозволено, наприклад, заборона набору внутрішніх/міжнародних номерів, правильна маршрутизація екстрених викликів тощо. Додаткову інформацію про застосування обмежень за допомогою абонентської групи див. в розділі Абонентська група співпраці SRND.
Вимоги до сертифіката для безпечних з’єднань у виділеному екземплярі
Для виділеного екземпляра Cisco надасть домен і підпише всі сертифікати для додатків UC за допомогою публічного центру сертифікації (CA).
Виділений екземпляр – номери портів і протоколи
У наведених нижче таблицях описано порти та протоколи, які підтримуються у спеціальному екземплярі. Порти, які використовуються для даного клієнта, залежать від розгортання та рішення Замовника. Протоколи залежать від бажаних параметрів клієнта (SCCP проти SIP), наявних локальних пристроїв і якого рівня безпеки для визначення, які порти будуть використовуватися в кожному розгортанні.
Виділений екземпляр не дозволяє переклад мережевої адреси (NAT) між кінцевими пристроями та Unified CM, оскільки деякі функції потоку викликів не працюватимуть, наприклад функція проміжного виклику.
Спеціальний екземпляр – порти клієнтів
Порти, доступні для клієнтів - між локальним клієнтом і спеціальним екземпляром, наведені в таблиці 1 Спеціальні портиклієнта. Усі перелічені нижче порти призначені для трафіку клієнтів, який обходить однорангові посилання.
Порт SNMP відкритий за замовчуванням лише для Cisco Emergency Responder, що підтримує його функції. Оскільки ми не підтримуємо партнерів або клієнтів, які здійснюють моніторинг програм UC, розгорнутих у хмарі виділеного екземпляра, ми не дозволяємо відкриття порту SNMP для будь-яких інших програм UC.
Порти в діапазоні 5063–5080 зарезервовані Cisco для інших хмарних інтеграцій. Адміністраторам партнерів або клієнтам рекомендується не використовувати ці порти в своїх конфігураціях.
Протокол |
TCP або UDP |
Джерело |
Місце призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
СШ |
TCP |
Клієнт |
Заявки на UC Не дозволено для програм Cisco Expressway. |
Більше 1023 |
22 |
Адміністрування |
tftp |
UDP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
69 |
Застаріла підтримка кінцевих пристроїв |
LDAP |
TCP |
Заявки на UC |
Зовнішній каталог |
Більше 1023 |
389 |
Синхронізація служби каталогів із запитом клієнта |
HTTPS |
TCP |
Браузер |
Заявки на UC |
Більше 1023 |
443 |
Веб-доступ для самообслуговування та адміністративних інтерфейсів |
Вихідна пошта (SECURE) |
TCP |
Застосунок UC |
CUCxn |
Більше 1023 |
587 |
Використовується для створення та надсилання захищених повідомлень будь-яким призначеним одержувачам |
LDAP (БЕЗПЕЧНИЙ) |
TCP |
Заявки на UC |
Зовнішній каталог |
Більше 1023 |
636 |
Синхронізація служби каталогів із запитом клієнта |
H323 |
TCP |
Шлюз |
Unified CM |
Більше 1023 |
1720 |
Сигналізація виклику |
H323 |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
1720 |
Сигналізація виклику |
УПП |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
2000 |
Сигналізація виклику |
УПП |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
2000 |
Сигналізація виклику |
MGCP |
UDP |
Шлюз |
Шлюз |
Більше 1023 |
2427 |
Сигналізація виклику |
Сервер MGCP |
TCP |
Шлюз |
Unified CM |
Більше 1023 |
2428 |
Сигналізація виклику |
SCCP (БЕЗПЕЧНИЙ) |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
2443 |
Сигналізація виклику |
SCCP (БЕЗПЕЧНИЙ) |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
2443 |
Сигналізація виклику |
Перевірка довіри |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2445 |
Надання послуги перевірки довіри до кінцевих точок |
ІКТ |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2748 |
Зв'язок між додатками CTI (JTAPI/TSP) та CTIManager |
Безпечний CTI |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
2749 |
Безпечне з'єднання між додатками CTI (JTAPI/TSP) і CTIManager |
Глобальний каталог LDAP |
TCP |
Додатки UC |
Зовнішній каталог |
Більше 1023 |
3268 |
Синхронізація служби каталогів із запитом клієнта |
Глобальний каталог LDAP |
TCP |
Додатки UC |
Зовнішній каталог |
Більше 1023 |
3269 |
Синхронізація служби каталогів із запитом клієнта |
Сервіс CAPF |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
3804 |
Проксі-функція центру сертифікації (CAPF) прослуховує порт для видачі локально значущих сертифікатів (LSC) на IP-телефони |
SIP |
TCP |
Кінцевий пристрій |
Уніфікований CM, CUCxn |
Більше 1023 |
5060 |
Сигналізація виклику |
SIP |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
5060 |
Сигналізація виклику |
SIP (БЕЗПЕЧНИЙ) |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
5061 |
Сигналізація виклику |
SIP (БЕЗПЕЧНИЙ) |
TCP |
Unified CM |
Уніфікований CM, шлюз |
Більше 1023 |
5061 |
Сигналізація виклику |
SIP (OAUTH) |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
5090 |
Сигналізація виклику |
XMPP |
TCP |
Джаббер Клієнт |
Cisco IM&P |
Більше 1023 |
5222 |
Обмін миттєвими повідомленнями та присутність |
HTTP |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6970 |
Завантаження конфігурації та зображень у кінцеві точки |
HTTPS |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6971 |
Завантаження конфігурації та зображень у кінцеві точки |
HTTPS |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
6972 |
Завантаження конфігурації та зображень у кінцеві точки |
HTTP |
TCP |
Джаббер Клієнт |
CUCxn |
Більше 1023 |
7080 |
Сповіщення голосової пошти |
HTTPS |
TCP |
Джаббер Клієнт |
CUCxn |
Більше 1023 |
7443 |
Безпечні сповіщення голосової пошти |
HTTPS |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
7501 |
Використовується службою пошуку між кластерами (ILS) для автентифікації на основі сертифіката |
HTTPS |
TCP |
Unified CM |
Unified CM |
Більше 1023 |
7502 |
Використовується ILS для автентифікації на основі пароля |
IMAP |
TCP |
Джаббер Клієнт |
CUCxn |
Більше 1023 |
7993 |
IMAP через TLS |
HTTP |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
8080 |
Абонентський URI для застарілої підтримки термінальних пристроїв |
HTTPS |
TCP |
Браузер, кінцева точка |
Заявки на UC |
Більше 1023 |
8443 |
Веб-доступ для самообслуговування та адміністративних інтерфейсів, UDS |
HTTPS |
TCP |
Телефон |
Unified CM |
Більше 1023 |
9443 |
Автентифікований пошук контактів |
HTTP |
TCP |
Кінцевий пристрій |
Unified CM |
Більше 1023 |
9444 |
Функція керування гарнітурою |
Безпечний RTP/SRTP |
UDP |
Unified CM |
Телефон |
з 16384 по 32767 * |
з 16384 по 32767 * |
Медіа (аудіо) - Музика на утриманні, Благовіщення, Програмний конференц-міст (відкритий на основі сигналізації дзвінків) |
Безпечний RTP/SRTP |
UDP |
Телефон |
Unified CM |
з 16384 по 32767 * |
з 16384 по 32767 * |
Медіа (аудіо) - Музика на утриманні, Благовіщення, Програмний конференц-міст (відкритий на основі сигналізації дзвінків) |
кобри |
TCP |
Клієнт |
CUCxn |
Більше 1023 |
20532 |
Створити резервну копію та відновити пакет програм |
ICMP |
ICMP |
Кінцевий пристрій |
Заявки на UC |
н/д |
н/д |
Перевірка зв’язку |
ICMP |
ICMP |
Заявки на UC |
Кінцевий пристрій |
н/д |
н/д |
Перевірка зв’язку |
DNS | UDP й TCP |
Переадресатор DNS |
Сервери виділеного екземпляра DNS |
Більше 1023 |
53 |
Переадресатори DNS території клієнта на сервери виділеного екземпляра DNS. Для отримання додаткової інформації дивіться вимоги до DNS . |
* У деяких особливих випадках може використовуватися більший діапазон. |
Виділений екземпляр – порти OTT
Клієнти та партнери можуть використовувати наступний порт для налаштування мобільного та віддаленого доступу (MRA):
Протокол |
TCP/UCP |
Джерело |
Місце призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
БЕЗПЕЧНИЙ RTP / RTCP |
UDP |
Expressway C |
Клієнт |
Більше 1023 |
36000-59999 |
Безпечні медіа для MRA та B2B дзвінків |
Міжоп-SIP-транк між багатоклієнтським та виділеним екземпляром (тільки для транка на основі реєстрації)
Такий список портів має бути дозволений на брандмауері клієнта для SIP-транка на основі реєстрації, що з’єднується між мультиклієнтом і виділеним екземпляром.
Протокол |
TCP/UCP |
Джерело |
Місце призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
rtp/ rtcp |
UDP |
Мультиклієнт Webex Calling |
Клієнт |
Більше 1023 |
8000-48198 |
Мультимедіа із багатоклієнтського Webex Calling |
Виділений екземпляр – порти UCCX
Наступний список портів може використовуватися Клієнтами та Партнерами для налаштування UCCX.
Протокол |
TCP / UCP |
Джерело |
Місце призначення |
Порт джерела |
Порт призначення |
Мета |
---|---|---|---|---|---|---|
СШ |
TCP |
Клієнт |
UCCX |
Більше 1023 |
22 |
СФТП і СШГ |
Інформікс |
TCP |
Клієнт або сервер |
UCCX |
Більше 1023 |
1504 |
Порт бази даних Contact Center Express |
SIP |
UDP й TCP |
SIP GW або MCRP-сервер |
UCCX |
Більше 1023 |
5065 |
Зв'язок з віддаленими вузлами GW і MCRP |
XMPP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
5223 |
Безпечне XMPP-з'єднання між сервером Finesse та користувацькими сторонніми програмами |
ССЗ |
TCP |
Клієнт |
UCCX |
Більше 1023 |
6999 |
Редактор додатків ССХ |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
7443 |
Безпечне з'єднання BOSH між сервером Finesse та робочими столами агента та супервайзера для зв'язку через HTTPS |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8080 |
Клієнти звітування даних у реальному часі підключаються до сервера socket.IO |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8081 |
Клієнтський браузер, який намагається отримати доступ до веб-інтерфейсу Єдиного розвідувального центру Cisco |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8443 |
Графічний інтерфейс адміністратора, RTMT, доступ до бази даних через SOAP |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8444 |
Веб-інтерфейс Єдиного розвідувального центру Cisco |
HTTPS |
TCP |
Браузер і REST клієнти |
UCCX |
Більше 1023 |
8445 |
Безпечний порт для Finesse |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8447 |
HTTPS - Єдина розвідувальна служба онлайн-довідки |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
8553 |
Компоненти єдиного входу (SSO) отримують доступ до цього інтерфейсу, щоб знати робочий стан IdS Cisco. |
HTTP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
9080 |
Клієнти, які намагаються отримати доступ до тригерів HTTP або документів / підказок / граматик / живих даних. |
HTTPS |
TCP |
Клієнт |
UCCX |
Більше 1023 |
9443 |
Захищений порт, який використовується для відповіді клієнтам, які намагаються отримати доступ до тригерів HTTPS |
TCP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12014 |
Це порт, де клієнти зі звітом живих даних можуть підключитися до сервера socket.IO |
TCP |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12015 |
Це порт, де клієнти зі звітом живих даних можуть підключитися до сервера socket.IO |
ІКТ |
TCP |
Клієнт |
UCCX |
Більше 1023 |
12028 |
Сторонній клієнт CTI для CCX |
RTP(Медіа) |
TCP |
Кінцевий пристрій |
UCCX |
Більше 1023 |
Більше 1023 |
Медіапорт динамічно відкривається в міру необхідності |
RTP(Медіа) |
TCP |
Клієнт |
Кінцевий пристрій |
Більше 1023 |
Більше 1023 |
Медіапорт динамічно відкривається в міру необхідності |
Безпека клієнта
Захист Jabber та Webex за допомогою SIP OAuth
Клієнти Jabber і Webex автентифікуються за допомогою токена OAuth замість локально значущого сертифіката (LSC), який не вимагає включення проксі-функції центру сертифікації (CAPF) (також для MRA). SIP OAuth, що працює зі змішаним режимом або без нього, був представлений в Cisco Unified CM 12.5(1), Jabber 12.5 і Expressway X12.5.
У Cisco Unified CM 12.5 ми маємо нову опцію в профілі безпеки телефону, яка дозволяє шифрувати без LSC/CAPF, використовуючи єдиний транспортний рівень безпеки (TLS) + токен OAuth у SIP REGISTER. Вузли Expressway-C використовують API адміністративної веб-служби XML (AXL) для інформування Cisco Unified CM про SN/SAN у своєму сертифікаті. Cisco Unified CM використовує цю інформацію для перевірки сертифіката Exp-C при встановленні взаємного з'єднання TLS.
SIP OAuth забезпечує шифрування медіа та сигналізації без сертифіката кінцевої точки (LSC).
Cisco Jabber використовує Ephemeral порти і захищені порти 6971 і 6972 через HTTPS-з'єднання з TFTP-сервером для завантаження файлів конфігурації. Порт 6970 є небезпечним портом для завантаження через HTTP.
Детальніше про конфігурацію SIP OAuth: Режим SIP OAuth.
Вимоги до DNS
Для виділеного екземпляра Cisco надає FQDN для служби в кожному регіоні з таким форматом ..wxc-di.webex.com , наприклад, xyz.amer.wxc-di.webex.com.
Цінність «клієнта» надається адміністратором у рамках майстра першого налаштування (FTSW). Для отримання додаткової інформації зверніться до Активаціяслужби спеціального екземпляра.
Записи DNS для цього FQDN потрібно вирішити з внутрішнього DNS-сервера клієнта для підтримки локальних пристроїв, підключених до виділеного екземпляра. Щоб полегшити вирішення, клієнту потрібно налаштувати умовний експедитор для цього FQDN на своєму DNS-сервері, що вказує на службу DNS виділеного екземпляра. Служба DNS виділеного екземпляра є регіональною, до неї можна підключитися за допомогою пірингу до виділеного екземпляра за допомогою таких IP-адрес, як зазначено в таблиці IP-адреса служби DNS виділеного екземпляра.
Регіон/округ Колумбія | IP-адреса служби DNS виділеного екземпляра |
Приклад умовного пересилання |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
ГЦП |
69.168.17.100 |
|
DFW |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
ЛОН |
178.215.138.100 |
|
АМС |
178.215.138.228 |
|
ЄС |
<customer>.eu.wxc-di.webex.com |
|
між |
178.215.131.100 |
|
АМС |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Гріх |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Мел |
178.215.128.100 |
|
Сід |
178.215.128.228 |
|
Сполучене Королівство |
<customer>.uk.wxc-di.webex.com | |
ЛОН |
178.215.135.100 |
|
чоловік |
178.215.135.228 |
Опція ping відключена для вищезгаданих IP-адрес DNS-сервера з міркувань безпеки.
Поки не буде проведено умовне пересилання, пристрої не зможуть зареєструватися у виділеному екземплярі з внутрішньої мережі клієнтів через пірінгові посилання. Умовна переадресація не потрібна для реєстрації за допомогою мобільного та віддаленого доступу (MRA), оскільки всі необхідні зовнішні записи DNS для полегшення MRA будуть попередньо надані Cisco.
Під час використання програми Webex як програмного клієнта, що телефонує, у виділеному екземплярі, профіль менеджера UC повинен бути налаштований у Центрі керування для домену голосового обслуговування кожного регіону (VSD). Для отримання додаткової інформації зверніться до профілів UC Manager в Cisco Webex Control Hub. Додаток Webex зможе автоматично вирішувати питання швидкісної дороги клієнта без будь-якого втручання кінцевого користувача.
Домен голосового сервісу буде надано клієнту як частина документа доступу партнера після завершення активації послуги.
Використовувати локальний маршрутизатор для роздільної здатності DNS телефона
Для телефонів, які не мають доступу до корпоративних серверів DNS, можна використовувати локальний маршрутизатор Cisco, щоб переадресувати запити DNS до хмари DNS виділеного екземпляра. Це усуває необхідність розгортання локального DNS-сервера та забезпечує повну підтримку DNS, включно з кешуванням.
Приклад конфігурації :
!
сервер IP DNS
IP-сервер
!
Використання DNS у цій моделі розгортання специфічне для телефонів і може використовуватися лише для вирішення повних доменів із доменом із виділеного екземпляра клієнтів.
Посилання
-
Cisco Співпраця 12.x Дизайн довідкової мережі рішень (SRND), тема безпеки: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Посібник з безпеки для уніфікованого менеджера з комунікацій Cisco: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html