Je možné, že máte potíže s nasazením hybridních služeb Cisco Webex ve vašem prostředí. Nebo jen chcete lépe porozumět některým aspektům návrhu. Tento článek může sloužit jako kontrolní seznam, který vám pomůže porozumět důležitým hybridním položkám, jako jsou aspekty brány firewall, certifikační autority a vlastnictví domény.
Tato část obsahuje další kontext klíčových položek konfigurace, které se vztahují k hybridním službám Cisco Webex.
Tyto body jsou klíčové, pokud chcete úspěšně nasadit hybridní služby Cisco Webex hostované na dálnici , jako je například služba Hybrid Call ServiceAware/Connect a Hybrid Calendar Service. Tyto položky jsme zdůraznili zejména z následujících důvodů:
Chceme je vysvětlit, abyste pochopili jejich roli v hybridním nasazení a cítili se ěnováni.
Jsou to povinné předpoklady, které zajišťují bezpečné nasazení mezi naším cloudem a místním prostředím.
Měly by být považovány za činnosti před nulovým dnem: jejich dokončení může trvat o něco déle než typická konfigurace v uživatelském rozhraní, takže povolte časový rámec pro seřazení těchto položek.
Po vyřešení těchto položek ve vašem prostředí bude zbytek konfigurace hybridních služeb Cisco Webex procházet hladce.
Nasazení párů Expressway-C a Expressway-E umožňuje volání do a z Internetu pomocí technologií brány firewall . Toto nasazení je to, co bezpečně přebírá místní řízení hovorů a váže jej do Cisco Webex.
Expressway-C a Expressway-E nevyžadují otevření žádného příchozího portu v bráně firewall demilitarizované zóny (DMZ) z důvodu architektury brány firewall. Ale tcp SIP signální porty a UDP mediální porty musí být otevřeny příchozí na internetové bráně firewall, aby příchozí hovory mohou projít. Je nutné poskytnout čas na otevření příslušného portu na podnikové bráně firewall.
Například pro příchozí volání mezi podniky (B2B) pomocí protokolu SIP musí být porty TCP 5060 a 5061 (5061 se používá pro SIP TLS) otevřeny na externí bráně firewall spolu s mediálními porty UDP používanými pro služby, jako je hlas, video, sdílení obsahu, duální video atd. Které mediální porty se mají otevřít, závisí na počtu souběžných volání a počtu služeb.
Odposlouchávací port SIP na dálnici můžete nakonfigurovat tak, aby měl libovolnou hodnotu mezi lety 1024 a 65534. Současně musí být tato hodnota a typ protokolu inzerovány ve veřejných záznamech DNS SRV a stejná hodnota musí být otevřena v internetové bráně firewall.
Ačkoli standard pro SIP TCP je 5060 a pro SIP TLS 5061, nic nebrání použití různých portů, jak ukazuje následující příklad.
- Příklad
-
V tomto příkladu předpokládáme, že port 5062 se používá pro příchozí volání SIP TLS.
Záznam DNS SRV pro cluster dvou serverů Expressway vypadá takto:
- _sips._tcp. example.com umístění služby SRV:
-
priorita = 10
hmotnost = 10
port = 5062
svr hostname = us-expe1.example.com
- _sips._tcp. example.com umístění služby SRV:
-
priorita = 10
hmotnost = 10
port = 5062
svr hostname = us-expe2.example.com
Tyto záznamy znamenají, že volání jsou směrována na us-expe1.example.com a us-expe2.example.com se stejným sdílením zatížení (priorita a hmotnost) pomocí protokolu TLS jako typu přenosu a 5062 jako čísla naslouchajícího portu.
Zařízení, které je mimo síť (v Internetu) a které provádí volání SIP uživateli podnikové domény (user1@example.com), musí dotazovat DNS, aby pochopilo, který typ přenosu se má použít, číslo portu, jak načíst provoz a které servery SIP chcete volání odeslat.
Pokud položka DNS obsahuje _sips. , položka určuje_tcpSIP TLS.
Protokol TLS je protokol klient-server a v nejběžnějších implementacích používá certifikáty pro ověřování. Ve scénáři volání mezi podniky je klient TLS volajícím zařízením a server TLS je nazývané zařízení. Pomocí služby TLS klient zkontroluje certifikát serveru a pokud kontrola certifikátu selže, odpojí hovor. Klient nepotřebuje certifikát.
Specifikace protokolu TLS však uvádí, že server může také zkontrolovat klientský certifikát odesláním zprávy Žádosti o certifikát klientovi během protokolu handshake protokolu TLS. Tato zpráva je užitečná při připojení mezi serverem, například při volání, které je navázáno mezi Expressway-E a cloudem Cisco Webex. Tento koncept se nazývá TLS se vzájemným ověřováním a je vyžadován při integraci se společností Cisco Webex.
Cloud kontroluje identitu rychlostní silnice a Expressway kontroluje identitu cloudu. Pokud například identita cloudu v certifikátu (CN nebo SAN) neodpovídá tomu, co je nakonfigurováno na dálnici, připojení se vymaže.
Pokud je zapnuté vzájemné ověřování, Expressway-E vždy požaduje klientský certifikát. V důsledku toho mobilní a vzdálený přístup (MRA) nebude fungovat, protože ve většině případů nejsou certifikáty nasazeny na klientech Jabber. V případě mezipodnikovou situací, pokud volající entita není schopna poskytnout certifikát, je volání odpojeno.
Doporučujeme použít jinou hodnotu než 5061 pro TLS se vzájemným ověřováním, například port 5062. Hybridní služby Cisco Webex používají stejný záznam SIP TLS, který se používá pro B2B. V případě portu 5061 nebudou fungovat některé další služby, které nemohou poskytnout klientský certifikát TLS.
Provoz mezi podniky, mobilní a vzdálený přístup a cisco webex na stejné dvojici rychlostních silnic
Volání business-to-business a Mobile a Remote Access používají port 5061 pro SIP TLS a provoz Cisco Webex používá port 5062 pro SIP TLS se vzájemným ověřováním.
Kontrola vlastnictví domény je součástí ověření identity. Ověření domény je bezpečnostní opatření a kontrola identity, kterou cloud Cisco Webex implementuje, aby dokázal, že jste tím, kým říkáte, že jste.
Kontrola totožnosti se provádí ve dvou fázích:
Kontrola vlastnictví domény. Tento krok zahrnuje tři typy domén a jedná se o jednorázovou ověřovací kontrolu:
E-mailová doména
Doména Expressway-E DNS
Doména identifikátoru URI adresáře
Kontrola vlastnictví názvu DNS expressway-E. Tento krok se provádí implementací TLS se vzájemným ověřováním a zahrnuje použití veřejných certifikátů v cloudu i na rychlostní silnici. Na rozdíl od kontroly identity domény se tento krok provádí během jakéhokoli volání do cloudu a přijatého z cloudu.
Příběh, který ukazuje důležitost kontroly vlastnictví domény
Cloud Cisco Webex provádí kontrolu vlastnictví domény, aby vynutily zabezpečení. Krádež identity je jednou z možných hrozeb, pokud tato kontrola není provedena.
Následující článek podrobně popisuje, co se může stát, pokud se neprovádí kontrola vlastnictví domény.
Společnost s doménou DNS nastavenou na "hacker.com" kupuje hybridní služby Cisco Webex. Další společnost, s vlastní doménou nastavenou na "example.com", také používá hybridní služby. Jeden z generálních manažerů společnosti Example.com se jmenuje Jane Roe a má adresář URI jane.roe@example.com.
Správce Hacker.com společnosti nastaví jednu ze svých identifikátorů URI adresáře na jane.roe@example.com a e-mailovou adresu jane.roe@hacker.com. Může to udělat, protože cloud v tomto příkladu nekontroluje doménu IDENTIFIKÁTORU URI SIP.
Dále se přihlásí do Cisco Webex Teams s jane.roe@hacker.com. Vzhledem k tomu, že doménu vlastní, ověřovací e-mail se přečte a odpoví a může se přihlásit. Nakonec zavolá kolegovi Johnu Doeovi vytočením john.doe@example.com z aplikace Cisco Webex Teams. John sedí ve své kanceláři a vidí hovor na svém videozařízení pocházejícím z jane.roe@example.com; to je identifikátor URI adresáře přidružený k tomuto e-mailovému účtu.
"Je v zahraničí," myslí si. "Možná bude potřebovat něco důležitého." Zvedne telefon a falešná Jane Roeová požádá o důležité dokumenty. Vysvětluje, že její zařízení je rozbité, a protože cestuje, požádá ho, aby poslal dokumenty na její soukromou e-mailovou adresu, jane.roe@hacker.com. Tímto způsobem si společnost uvědomí až poté, co se Jane Roe vrátí do kanceláře, že důležité informace unikly mimo společnost.
Společnost Example.com má mnoho způsobů, jak chránit před podvodnými hovory přicházejícími z internetu, ale jednou z povinností cloudu Cisco Webex je zajistit, aby identita každého, kdo volá z Cisco Webex, byla správná a nebyla zfalšovaná.
Pro kontrolu identity společnost Cisco Webex vyžaduje, aby společnost prokázala, že vlastní domény používané v hybridním volání. Pokud ne, nebude to fungovat.
K zajištění tohoto vlastnictví jsou vyžadovány dva kroky ověření domény:
Prokažte, že společnost vlastní e-mailovou doménu, doménu Expressway-E, doménu identifikátoru URI adresáře.
Všechny tyto domény musí být směrovatelné a známé veřejnými servery DNS.
Pro prokázání vlastnictví musí správce DNS zadat textový záznam DNS (TXT). Záznam TXT je typ záznamu prostředku v DNS, který slouží k poskytnutí možnosti přidružit libovolný a neformátovaný text k hostiteli nebo jinému názvu.
Správce DNS musí zadat tento txt záznam do zóny, jejíž vlastnictví musí být prokázáno. Po tomto kroku cloud Cisco Webex provede dotaz na záznam TXT pro tuto doménu.
Pokud je txt dotaz úspěšný a výsledek odpovídá tokenu generovanému z cloudu Cisco Webex, doména se ověří.
Správce musí například prokázat, že vlastní doménu "example.com", pokud chce, aby hybridní služby Cisco Webex fungovaly na její doméně.
- Prostřednictvím https://admin.webex.comaplikace spustí proces ověření vytvořením záznamu TXT, který bude odpovídat tokenu, který vygeneroval cloud Cisco Webex:
- Správce DNS pak vytvoří txt záznam pro tuto doménu s hodnotou nastavenou na 123456789abcdef123456789abcdef123456789abcdef123456789abcdef, jako v následujícím příkladu:
V tomto okamžiku může cloud ověřit, že záznam TXT pro doménu example.com odpovídá tokenu.
- Cloud provede vyhledávání TXT DNS:
Vzhledem k tomu, že hodnota TXT odpovídá hodnotě tokenu, tato shoda dokazuje, že správce přidal txt záznam pro svou vlastní doménu do veřejného DNS a že doménu vlastní.
Kontrola vlastnictví názvu SLUŽBY Expressway-E DNS.
Cloud musí zkontrolovat, zda má Expressway-E potvrzenou identitu od jedné z certifikačních autorit, kterým cloud důvěřuje. Správce rychlostní silnice-E musí požádat o veřejné osvědčení pro svou rychlostní silnici E u jednoho z těchto certifikačních orgánů. K vystavení certifikátu certifikační autorita provede proces ověření identity na základě kontroly ověření domény (pro certifikáty ověřené doménou) nebo kontroly ověření organizace (pro certifikáty ověřené organizací).
Volání do a z cloudu závisí na certifikátu vydaném dálnici-E. Pokud certifikát není platný, je volání zrušeno.
Aby hybridní služby fungovaly, musí být hostitel konektoru Expressway-C zaregistrován ve službě Cisco Webex.
Expressway-C je nasazená v interní síti a způsob, jakým se registruje do cloudu, probíhá prostřednictvím odchozího připojení HTTPS – stejného typu, který se používá pro jakýkoli prohlížeč, který se připojuje k webovému serveru.
Registrace a komunikace do cloudu Cisco Webex využívá protokol TLS. Expressway-C je klient TLS a cloud Cisco Webex je server TLS. Expressway-C proto kontroluje certifikát serveru.
Certifikační autorita podepíše certifikát serveru pomocí vlastního privátního klíče. Kdokoli s veřejným klíčem může tento podpis dekódovat a prokázat, že stejný certifikační úřad podepsal tento certifikát.
Pokud expressway-C musí ověřit certifikát poskytovaný cloudem, musí k dekódování podpisu použít veřejný klíč certifikační autority, která tento certifikát podepsala. Veřejný klíč je obsažen v certifikátu certifikační autority. Chcete-li navázat důvěryhodnost s certifikačními autoritami používanými v cloudu, musí být seznam certifikátů těchto důvěryhodných certifikačních autorit v úložišti důvěryhodnosti expresní dráhy. Expressway přitom může ověřit, zda hovor skutečně pochází z cloudu Cisco Webex.
Pomocí ručního nahrávání můžete nahrát všechny příslušné certifikáty certifikační autority do úložiště důvěryhodnosti Expressway-C.
Při automatickém nahrávání cloud sám nahraje tyto certifikáty do úložiště důvěryhodnosti Expressway-C. Doporučujeme použít automatické nahrávání. Seznam certifikátů se může změnit a automatické nahrávání zaručuje, že získáte nejaktuálnější seznam.
Pokud povolíte automatickou instalaci certifikátů certifikační autority, budete přesměrováni https://admin.webex.com na (portál pro správu). Přesměrování provádí samotná rychlostní silnice-C bez zásahu uživatele. Vy, jako správce Cisco Webex, se musíte ověřit prostřednictvím připojení HTTPS. Brzy poté cloud posune certifikáty certifikační autority na dálnici-C.
Dokud nejsou certifikáty nahrány do úložiště důvěryhodnosti Expressway-C, nelze navázat připojení HTTPS.
Aby se předešlo tomuto problému, je expressway-C předinstalován s certifikáty certifikační autority Cisco Webex- důvěryhodné. Tyto certifikáty se používají pouze k nastavení a ověření počátečního připojení HTTPS a nezobrazují se v seznamu důvěryhodnosti Expressway-C. Jakmile jsou certifikáty důvěryhodných certifikačních autorit staženy z cloudu prostřednictvím tohoto počátečního připojení HTTPS, jsou tyto certifikáty k dispozici pro použití v celé platformě; pak se zobrazí v seznamu důvěryhodnosti Expressway-C.
Vyžaduje přístup správce k expressway-C a k https://admin.webex.com. Tato připojení používají protokol HTTPS a jsou šifrována.
Certifikáty jsou odeslány z cloudu na expressway pomocí stejného šifrovaného připojení.
Tento seznam zobrazuje certifikáty certifikační autority, které cloud Cisco Webex aktuálně používá. Tento seznam se může v budoucnu změnit:
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certifikační autorita
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority - G2
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=rozmrazení, Inc., divize certifikačních služeb, OU=(c) 2006 rozmrazení, Inc.
C=US, O=VeriSign, Inc., OU=Třída 3 Veřejná primární certifikační autorita
Pro expressway-E v traverzní dvojici je také vyžadován seznam certifikátů certifikační autority. Expressway-E komunikuje s cloudem Cisco Webex pomocí SIP s TLS, vynucené vzájemným ověřováním. Expressway-E důvěřuje voláním přicházejícím a přicházejícím do cloudu, pouze pokud KN nebo SAN certifikátu prezentovaného cloudem během nastavení připojení TLS odpovídá názvu předmětu nakonfigurovaného pro zónu DNS na Expressway ("callservice.ciscospark.com"). Certifikační autorita vydá certifikát až po kontrole identity. Vlastnictví callservice.ciscospark.com domény musí být prokázáno, že je podepsán certifikát. Vzhledem k tomu, že my (Cisco) vlastníme tuto doménu, název DNS "callservice.ciscospark.com " je přímýmdůkazem, že vzdálený partner je skutečně Cisco Webex.
Calendar Connector integruje Cisco Webex s Microsoft Exchange 2010, 2013, 2016 nebo Office 365 prostřednictvím účtu zosobnění. Role správy zosobnění aplikace v Exchange umožňuje aplikacím zosobnit uživatele v organizaci a provádět úkoly jménem uživatele. Role zosobnění aplikace musí být nakonfigurována v Exchange a používá se v konektoru kalendáře jako součást konfigurace Exchange na rozhraní Expressway-C.
Účet zosobnění exchange je pro tento úkol doporučenou metodou společnosti Microsoft. Správci dálnice-C nepotřebují znát heslo, protože hodnotu může správce Exchange zadat do rozhraní Expressway-C. Heslo není jasně zobrazeno, i když má správce expressway-C root přístup k poli Expressway-C. Heslo je uloženo zašifrované pomocí stejného mechanismu šifrování přihlašovacích údajů jako ostatní hesla na dálnici Expressway-C.
Chcete-li získat další zabezpečení, postupujte podle pokynů v příručce k nasazení hybridního kalendáře Cisco Webex a povolte TLS, abyste zajistili připojení EWS v drátu.