Táto časť poskytuje dodatočný kontext o položkách konfigurácie kľúčov, ktorých sa to týka Hybridné služby Cisco Webex.

Tieto body sú rozhodujúce, ak chcete úspešne nasadiť hostený server Expressway Hybridné služby Cisco Webex, ako napríklad Hybrid Call Service Aware/Connect a Hybrid Calendar Service. Tieto položky sme zdôraznili najmä z nasledujúcich dôvodov:

  • Chceme ich vysvetliť, aby ste pochopili ich úlohu v hybridnom nasadení a cítili sa bezpečne.

  • Sú to povinné predpoklady, ktoré zaisťujú bezpečné nasadenie medzi naším cloudom a vaším lokálnym prostredím.

  • Mali by sa považovať za aktivity pred nulou: ich dokončenie môže trvať o niečo dlhšie ako pri typickej konfigurácii v používateľskom rozhraní, takže na zoradenie týchto položiek ponechajte časový rámec.

  • Potom, čo sa tieto položky budú riešiť vo vašom prostredí, zvyšok vášho Hybridné služby Cisco Webex konfigurácia prebehne hladko.

Nasadenie dvojice Expressway-C a Expressway-E umožňuje volanie do az internetu pomocou technológie prechodu firewallom. Toto nasadenie je to, čo bezpečne prevezme vaše lokálne riadenie hovorov a prepojí ich Cisco Webex.

Expressway-C a Expressway-E nevyžadujú, aby bol vo firewalle demilitarizovanej zóny (DMZ) otvorený žiadny vstupný port kvôli architektúre prechodu firewallom. Signalizačné porty TCP SIP a mediálne porty UDP však musia byť otvorené na internetovej bráne firewall, aby mohli prichádzajúce hovory prechádzať. Musíte si nechať čas na otvorenie príslušného portu na vašej podnikovej bráne firewall.

Architektúra prechodu brány firewall je znázornená na nasledujúcom diagrame:

Napríklad pre prichádzajúce hovory typu business-to-business (B2B) pomocou protokolu SIP musia byť na externom firewalle otvorené porty TCP 5060 a 5061 (5061 sa používa pre SIP TLS) spolu s mediálnymi portami UDP používanými pre služby, ako je hlas , video, zdieľanie obsahu, duálne video atď. Ktoré mediálne porty otvoriť, závisí od počtu súbežných hovorov a počtu služieb.

Port na počúvanie SIP na Expressway môžete nakonfigurovať na akúkoľvek hodnotu medzi 1024 až 65534. Zároveň musí byť táto hodnota a typ protokolu zverejnená vo verejných záznamoch DNS SRV a rovnaká hodnota musí byť otvorená na internetovom firewalle.

Hoci štandardom pre SIP TCP je 5060 a pre SIP TLS 5061, nič nebráni použitiu rôznych portov, ako ukazuje nasledujúci príklad.

Príklad

V tomto príklade predpokladáme, že port 5062 sa používa na prichádzajúce hovory SIP TLS.

Záznam DNS SRV pre klaster dvoch serverov Expressway vyzerá takto:

_sips._tcpMiesto servisu SRV .example.com:

priorita = 10

hmotnosť = 10

port = 5062

svr hostname = us-expe1.example.com

_sips._tcpMiesto servisu SRV .example.com:

priorita = 10

hmotnosť = 10

port = 5062

svr hostname = us-expe2.example.com

Tieto záznamy znamenajú, že hovory sú smerované na us-expe1.example.com a us-expe2.example.com s rovnakým zdieľaním záťaže (priorita a váha) pomocou TLS ako typu prenosu a 5062 ako čísla portu počúvania.

Zariadenie, ktoré je externé pre sieť (na internete) a ktoré uskutočňuje volanie SIP používateľovi v podnikovej doméne (user1@example.com), sa musí dotazovať DNS, aby pochopilo, ktorý typ prenosu použiť, číslo portu, ako na zdieľanie záťaže a na ktoré servery SIP poslať hovor.

Ak položka DNS obsahuje _sips._tcp, položka špecifikuje SIP TLS.

TLS je protokol klient-server a v najbežnejších implementáciách používa na autentifikáciu certifikáty. V scenári hovoru medzi podnikmi je klient TLS volajúcim zariadením a server TLS je volaným zariadením. Pri TLS klient skontroluje certifikát servera a ak kontrola certifikátu zlyhá, odpojí hovor. Klient nepotrebuje certifikát.

TLS handshake je znázornený na nasledujúcom diagrame:

V špecifikácii TLS sa však uvádza, že server môže tiež skontrolovať certifikát klienta odoslaním správy so žiadosťou o certifikát klientovi počas protokolu TLS handshake. Táto správa je užitočná pri pripojení server-to-server, napríklad pri hovore, ktorý je vytvorený medzi Expressway-E a Cisco Webex oblak. Tento koncept sa nazýva TLS so vzájomnou autentifikáciou a vyžaduje sa pri integrácii s Cisco Webex.

Volajúci aj volaní účastníci kontrolujú certifikát druhého partnera, ako ukazuje nasledujúci diagram:

Cloud kontroluje identitu Expressway a Expressway kontroluje identitu cloudu. Ak sa napríklad identita cloudu v certifikáte (CN alebo SAN) nezhoduje s tým, čo je nakonfigurované na Expressway, pripojenie sa zruší.

Ak je vzájomná autentifikácia zapnutá, Expressway-E vždy požaduje certifikát klienta. V dôsledku toho nebude mobilný a vzdialený prístup (MRA) fungovať, pretože vo väčšine prípadov nie sú certifikáty nasadené na klientoch Jabber. V scenári typu business-to-business, ak volajúca entita nie je schopná poskytnúť certifikát, hovor sa odpojí.

Odporúčame vám použiť inú hodnotu ako 5061 pre TLS so vzájomnou autentifikáciou, napríklad port 5062. Cisco Webex Hybridné služby používajú rovnaký záznam SIP TLS, aký sa používa pre B2B. V prípade portu 5061 nebudú fungovať niektoré ďalšie služby, ktoré nedokážu poskytnúť certifikát klienta TLS.

Business-to-business, mobilný a vzdialený prístup a Cisco Webex premávky na rovnakom páre rýchlostných ciest

Business-to-business hovory a hovory s mobilným a vzdialeným prístupom používajú port 5061 pre SIP TLS a Cisco Webex prevádzka využíva port 5062 pre SIP TLS so vzájomnou autentifikáciou.

Kontrola vlastníctva domény je súčasťou overenia identity. Overenie domény je bezpečnostné opatrenie a kontrola identity, ktorá Cisco Webex cloudové nástroje, ktoré dokážu, že ste tým, za koho sa vydávate.

Kontrola identity prebieha v dvoch fázach:

  1. Kontrola vlastníctva domény. Tento krok zahŕňa tri typy domén a ide o jednorazovú overovaciu kontrolu:

    • E-mailová doména

    • DNS doména Expressway-E

    • Doména URI adresára

  2. Kontrola vlastníctva DNS názvu Expressway-E. Tento krok sa vykonáva prostredníctvom implementácie TLS so vzájomnou autentifikáciou a zahŕňa použitie verejných certifikátov na cloude aj na Expressway. Na rozdiel od kontroly identity domény sa tento krok vykonáva počas akéhokoľvek hovoru uskutočneného a prijatého z cloudu.

Príbeh, ktorý ukazuje dôležitosť kontroly vlastníctva domény

The Cisco Webex cloud vykonáva kontrolu vlastníctva domény na vynútenie zabezpečenia. Krádež identity je jednou z možných hrozieb, ak sa táto kontrola nevykoná.

Nasledujúci príbeh podrobne popisuje, čo sa môže stať, ak sa nevykoná kontrola vlastníctva domény.

Kupuje spoločnosť s doménou DNS nastavenou na „hacker.com“. Cisco Webex Hybridné služby. Používa aj iná spoločnosť s vlastnou doménou nastavenou na „example.com“. hybridné služby. Jeden z generálnych manažérov spoločnosti Example.com sa volá Jane Roe a má adresár URI jane.roe@example.com.

Administrátor spoločnosti Hacker.com nastaví jeden z jej URI adresára na jane.roe@example.com a e-mailovú adresu na jane.roe@hacker.com. Môže to urobiť, pretože cloud v tomto príklade nekontroluje doménu SIP URI.

Ďalej sa prihlási do Tímy Cisco Webex s jane.roe@hacker.com. Keďže je vlastníkom domény, overovací e-mail je prečítaný a zodpovedaný a môže sa prihlásiť. Nakoniec zavolá kolegovi Johnovi Doeovi vytočením čísla john.doe@example.com Tímy Cisco Webex aplikácie. John sedí vo svojej kancelárii a na svojom video zariadení vidí hovor prichádzajúci z jane.roe@example.com; to je adresa URI priradená k tomuto e-mailovému účtu.

„Je v zahraničí,“ myslí si. "Možno potrebuje niečo dôležité." Zdvihne telefón a falošná Jane Roe si pýta dôležité dokumenty. Vysvetľuje, že jej zariadenie je pokazené, a keďže cestuje, žiada ho, aby poslal dokumenty na jej súkromnú e-mailovú adresu jane.roe@hacker.com. Týmto spôsobom si spoločnosť uvedomí, až keď sa Jane Roe vráti do kancelárie, že dôležité informácie unikli mimo spoločnosti.

Spoločnosť Example.com má mnoho spôsobov, ako sa chrániť pred podvodnými hovormi prichádzajúcimi z internetu, ale jednou z povinností Cisco Webex cloud je uistiť sa, že identita každého volajúceho z Cisco Webex je správny a nie je sfalšovaný.

Ak chcete skontrolovať identitu, Cisco Webex vyžaduje, aby spoločnosť preukázala, že vlastní domény používané v hybridné volanie. Ak nie, nebude fungovať.

Na zabezpečenie tohto vlastníctva sú potrebné dva kroky overenia domény:

  1. Dokážte, že spoločnosť vlastní emailovú doménu, Expressway-E doménu, Directory URI doménu.

    • Všetky tieto domény musia byť smerovateľné a známe verejnými servermi DNS.

    • Na preukázanie vlastníctva musí správca DNS zadať textový záznam DNS (TXT). Záznam TXT je typ záznamu o zdroji v DNS, ktorý sa používa na poskytnutie možnosti priradiť nejaký svojvoľný a neformátovaný text k hostiteľovi alebo inému názvu.

    • Správca DNS musí zadať tento TXT záznam do zóny, ktorej vlastníctvo musí byť preukázané. Po tomto kroku, Cisco Webex cloud vykoná dotaz na záznam TXT pre túto doménu.

    • Ak je dotaz TXT úspešný a výsledok sa zhoduje s tokenom, ktorý bol vygenerovaný z Cisco Webex cloud, doména je overená.

    • Napríklad správca musí preukázať, že vlastní doménu „example.com“, ak chce Cisco Webex Hybridné služby, aby fungovali na jej doméne.

    • Cez https://admin.webex.com, začne proces overovania vytvorením záznamu TXT, ktorý sa zhoduje s tokenom, ktorý má Cisco Webex cloud vygeneroval:
    • Správca DNS potom vytvorí záznam TXT pre túto doménu s hodnotou nastavenou na 123456789abcdef123456789abcdef123456789abcdef123456789abcdef, ako v nasledujúcom príklade:
    • V tomto bode môže cloud overiť, či sa záznam TXT pre doménu example.com zhoduje s tokenom.

    • Cloud vykoná vyhľadávanie TXT DNS:
    • Pretože hodnota TXT sa zhoduje s hodnotou tokenu, táto zhoda dokazuje, že správca pridal záznam TXT pre jej vlastnú doménu do verejného DNS a že je vlastníkom domény.

  2. Kontrola vlastníctva názvu DNS Expressway-E.

    • Cloud musí skontrolovať, či má Expressway-E potvrdenú identitu od jednej z certifikačných autorít, ktorým cloud dôveruje. Správca Expressway-E musí požiadať o verejný certifikát pre svoju Expressway-E u jednej z týchto certifikačných autorít. Na vydanie certifikátu certifikačná autorita vykoná proces overenia identity na základe kontroly overenia domény (pre certifikáty overené doménou) alebo kontroly overenia organizácie (pre certifikáty overené organizáciou).

    • Volania do a z cloudu závisia od certifikátu, ktorý bol vydaný pre Expressway-E. Ak certifikát nie je platný, hovor sa zruší.

Hostiteľ konektora Expressway-C musí byť zaregistrovaný Cisco Webex v poradí pre hybridné služby pracovať.

Expressway-C je nasadený v internej sieti a spôsob, akým sa registruje do cloudu, je cez odchádzajúce pripojenie HTTPS – rovnaký typ, aký sa používa pre akýkoľvek prehliadač, ktorý sa pripája k webovému serveru.

Registrácia a komunikácia s Cisco Webex cloud používa TLS. Expressway-C je klient TLS a Cisco Webex cloud je server TLS. Expressway-C ako taký kontroluje certifikát servera.

Certifikačná autorita podpisuje certifikát servera pomocou vlastného súkromného kľúča. Ktokoľvek s verejným kľúčom môže tento podpis dekódovať a dokázať, že certifikát podpísala rovnaká certifikačná autorita.

Ak musí Expressway-C overiť certifikát poskytnutý cloudom, musí na dekódovanie podpisu použiť verejný kľúč certifikačnej autority, ktorá podpísala daný certifikát. Verejný kľúč je obsiahnutý v certifikáte certifikačnej autority. Ak chcete vytvoriť dôveru s certifikačnými autoritami používanými cloudom, zoznam certifikátov týchto dôveryhodných certifikačných autorít musí byť v úložisku dôveryhodnosti Expressway. Vďaka tomu môže Expressway overiť, že hovor skutočne prichádza z Cisco Webex oblak.

Pomocou manuálneho nahrávania môžete nahrať všetky relevantné certifikáty certifikačných autorít do dôveryhodného úložiska Expressway-C.

Pri automatickom nahrávaní samotný cloud nahrá tieto certifikáty do dôveryhodného úložiska Expressway-C. Odporúčame vám použiť automatické nahrávanie. Zoznam certifikátov sa môže zmeniť a automatické nahrávanie zaručuje, že získate najaktuálnejší zoznam.

Ak povolíte automatickú inštaláciu certifikátov certifikačnej autority, budete presmerovaní na https://admin.webex.com (manažérsky portál). Presmerovanie vykoná Expressway-C sám bez akéhokoľvek zásahu používateľa. Vy, ako Cisco Webex správca, musí sa overiť prostredníctvom pripojenia HTTPS. Čoskoro potom cloud odošle certifikáty CA na Expressway-C.

Kým sa certifikáty nenahrajú do dôveryhodného úložiska Expressway-C, nie je možné vytvoriť pripojenie HTTPS.

Aby ste predišli tomuto problému, Expressway-C je predinštalovaný Cisco Webex-dôveryhodné certifikáty CA. Tieto certifikáty sa používajú iba na nastavenie a overenie počiatočného pripojenia HTTPS a nezobrazujú sa v zozname dôveryhodných Expressway-C. Po získaní certifikátov dôveryhodných certifikačných autorít z cloudu prostredníctvom tohto počiatočného pripojenia HTTPS sú tieto certifikáty dostupné na použitie v rámci celej platformy; potom sa objavia v zozname dôveryhodných pre Expressway-C.

Tento proces je bezpečný z týchto dôvodov:
  • Vyžaduje prístup správcu k rýchlostnej ceste-C a do https://admin.webex.com. Tieto pripojenia používajú HTTPS a sú šifrované.

  • Certifikáty sa prenášajú z cloudu do Expressway pomocou rovnakého šifrovaného pripojenia.

Tento zoznam zobrazuje certifikáty certifikačných autorít, ktoré Cisco Webex cloud v súčasnosti využíva. Tento zoznam sa môže v budúcnosti zmeniť:

  • C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root

  • C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root

  • C=US, O=The Go Daddy Group, Inc., OU=Certifikačná autorita Go Daddy Class 2

  • C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority – G2

  • C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2

  • C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. – Len na autorizované použitie, CN=thawte Primary Root CA

  • C=US, O=VeriSign, Inc., OU=verejná primárna certifikačná autorita 3. triedy

Zoznam certifikátov certifikačnej autority sa vyžaduje aj pre Expressway-E v prechodovom páre. Expressway-E komunikuje s Cisco Webex cloud pomocou SIP s TLS, vynúteného vzájomnou autentifikáciou. Expressway-E dôveruje hovorom prichádzajúcim z cloudu a smerujúcim do cloudu, iba ak sa CN alebo SAN certifikátu prezentovaného cloudom počas nastavovania pripojenia TLS zhoduje s názvom subjektu nakonfigurovaným pre zónu DNS na Expressway („callservice.ciscospark.com"). Certifikačná autorita vydá certifikát až po kontrole identity. Vlastníctvo callservice.ciscospark.com doména musí byť preukázaná, aby bol certifikát podpísaný. Pretože my (Cisco) vlastníme túto doménu, názov DNS "callservice.ciscospark.com“ je priamym dôkazom toho, že vzdialený peer skutočne je Cisco Webex.

Konektor kalendára integruje Cisco Webex s Microsoft Exchange 2010, 2013, 2016 alebo Office 365 prostredníctvom konta na odcudzenie identity. Rola správy zosobnenia aplikácie na serveri Exchange umožňuje aplikáciám vydávať sa za používateľov v organizácii a vykonávať úlohy v mene používateľa. Rola zosobnenia aplikácie musí byť nakonfigurovaná v Exchange a používa sa v Konektor kalendára ako súčasť konfigurácie Exchange na Rýchlostná cesta-C rozhranie.

Pre ďalšie zabezpečenie postupujte podľa krokov v Sprievodca nasadením služby Cisco Webex Hybrid Calendar Service povoliť TLS, aby sa zabezpečili pripojenia EWS na kábli.