Možda imate problema s implementacijom hibridnih servisa Cisco Webex u svom okruženju. Ili samo želite bolje razumjeti neke dizajnerske aspekte. Ovaj članak može poslužiti kao kontrolni popis koji će vam pomoći razumjeti važne hibridne stavke, kao što su razmatranja vatrozida, ustanove za izdavanje certifikata i vlasništvo nad domenom.
Ovaj odjeljak pruža dodatni kontekst o ključnim konfiguracijskim stavkama koje se odnose na Cisco Webex Hibridne usluge.
Ove točke su ključne ako želite uspješno implementirati Cisco Webex hibridne usluge koje hostira Expressway , kao što suHibridni pozivni servis Svjesni / Poveži se i Hibridni kalendarski servis. Ove smo stavke posebno istaknuli iz sljedećih razloga:
Želimo ih objasniti, tako da razumijete njihovu ulogu u hibridnom uvođenju i osjećate se ohrabreno.
To su obvezni preduvjeti koji osiguravaju sigurno uvođenje između našeg oblaka i vašeg lokalnog okruženja.
Treba ih tretirati kao aktivnosti prije nultog dana: može potrajati malo dulje od uobičajene konfiguracije u korisničkom sučelju, stoga dopustite vremenski okvir za sortiranje tih stavki.
Nakon što se te stavke adresiraju u vašem okruženju, ostatak konfiguracije cisco webex hibridnih usluga proći će glatko.
Implementacija parova Expressway- C i Expressway- E omogućuje pozive na Internet i s interneta pomoću tehnologija prelaska vatrozida. Ova implementacija je ono što sigurno preuzima vašu lokalnu kontrolu poziva i povezuje je s Cisco Webexom.
Expressway-C i Expressway-E ne zahtijevaju otvaranje ulaznog priključka u vatrozidu demilitarizirane zone (DMZ) zbog arhitekture prolaza vatrozida. No, TCP SIP signalni priključci i UDP medijski priključci moraju biti otvoreni ulazno u internetski vatrozid kako bi dolazni pozivi prošli. Morate dopustiti vrijeme za otvaranje odgovarajućeg priključka u poslovnom vatrozidu.
Na primjer, za dolazne pozive između poduzeća (B2B) pomoću SIP protokola, TCP priključci 5060 i 5061 (5061 se koristi za SIP TLS) moraju se otvoriti na vanjskom vatrozidu, zajedno s UDP medijskim priključcima koji se koriste za usluge kao što su govor, videozapisi, dijeljenje sadržaja, dvostruki videozapisi i tako dalje. Koji medijski priključci za otvaranje ovise o broju istodobnih poziva i broju usluga.
SIP priključak za slušanje na expresswayu možete konfigurirati kao bilo koju vrijednost između 1024 i 65534. U isto vrijeme, ova vrijednost i vrsta protokola moraju se oglašavati u javnim DNS SRV zapisima, a ta ista vrijednost mora biti otvorena na internetskom vatrozidu.
Iako je standard za SIP TCP 5060, a za SIP TLS 5061, ništa ne sprječava korištenje različitih priključaka, kao što pokazuje sljedeći primjer.
- Primjer
-
U ovom primjeru pretpostavljamo da se priključak 5062 koristi za dolazne SIP TLS pozive.
DNS SRV zapis za klaster dva poslužitelja za Expressway izgleda ovako:
- _sips._tcp. mjesto servisa example.com SRV:
-
prioritet = 10
težina = 10
priključak = 5062
svr naziv glavnog računala = us-expe1.example.com
- _sips._tcp. mjesto servisa example.com SRV:
-
prioritet = 10
težina = 10
priključak = 5062
svr naziv glavnog računala = us-expe2.example.com
Ti zapisi znače da su pozivi usmjereni na us-expe1.example.com i us-expe2.example.com s jednakim dijeljenjem opterećenja (prioritet i težina) koristeći TLS kao vrstu prijevoza i 5062 kao broj priključka za slušanje.
Uređaj koji je izvan mreže (na Internetu) i koji upućuje SIP poziv korisniku korporativne domene (user1@example.com) mora pitati DNS da bi razumio koju vrstu prijenosa koristiti, broj priključka, kako učitati-dijeliti promet i na koje SIP poslužitelje poslati poziv.
Ako DNS unos sadrži _sips. , unos navodi_tcpSIP TLS.
TLS je klijentsko-poslužiteljski protokol i u najčešćim implementacijama koristi certifikate za provjeru autentičnosti. U scenariju poziva između tvrtke, TLS klijent je pozivni uređaj, a TLS poslužitelj je nazvani uređaj. S TLS-om klijent provjerava certifikat poslužitelja, a ako provjera certifikata ne uspije, prekida poziv. Klijentu ne treba certifikat.
Međutim, U specifikaciji TLS-a navodi se da poslužitelj može provjeriti i klijentski certifikat slanjem poruke zahtjeva za certifikat klijentu tijekom protokola rukovanja TLS-om. Ova je poruka korisna na vezi između poslužitelja i poslužitelja, kao što je dežurstvo uspostavljeno između expressway-E i Cisco Webex oblaka. Ovaj koncept se zove TLS sa obostranom autentifikacijom i potreban je pri integraciji s Cisco Webexom.
Oblak provjerava identitet brze ceste, a Brza cesta provjerava identitet oblaka. Na primjer, ako se identitet oblaka u certifikatu (CN ili SAN) ne podudara s onim što je konfigurirano na brzoj cesti, veza se ispušta.
Ako je uključena međusobna provjera autentičnosti, Expressway-E uvijek traži certifikat klijenta. Kao rezultat toga, mobilni i daljinski pristup (MRA) neće raditi, jer se u većini slučajeva certifikati ne implementiraju na Jabber klijente. U poslovnom scenariju, ako entitet pozivanja ne može dati certifikat, poziv se prekida.
Preporučujemo da koristite vrijednost koja nije 5061 za TLS s obostranom provjerom autentičnosti, kao što je priključak 5062. Hibridne usluge Cisco Webex koriste isti SIP TLS zapis koji se koristi za B2B. U slučaju priključka 5061 neke druge usluge koje ne mogu pružiti TLS klijentski certifikat neće funkcionirati.
Business-to-business, Mobilni i daljinski pristup i Cisco Webex promet na istom paru brze ceste
Pozivi između tvrtke i mobilnog i daljinskog pristupa koriste priključak 5061 za SIP TLS, a Cisco Webex promet koristi priključak 5062 za SIP TLS s obostranom provjerom autentičnosti.
Provjera vlasništva nad domenom dio je provjere identiteta. Provjera domene sigurnosna je mjera i provjera identiteta koju cisco Webex oblak implementira kako bi dokazao da ste ono što tvrdite da jeste.
Provjera identiteta provodi se u dvije faze:
Provjera vlasništva nad domenom. Ovaj korak uključuje tri vrste domena i jednokratna je provjera:
Domena e-pošte
DNS domena za Expressway-E
URI domena direktorija
Provjera vlasništva dns naziva za Expressway-E. Ovaj korak provodi se implementacijom TLS-a uz međusobnu autentifikaciju i uključuje korištenje javnih certifikata na oblaku i brzoj cesti. Za razliku od provjere identiteta domene, ovaj se korak izvodi tijekom bilo kojeg poziva upućenog i primljenog iz oblaka.
Priča koja pokazuje važnost provjere vlasništva nad domenom
Cisco Webex oblak provodi provjeru vlasništva nad domenom kako bi nametnuo sigurnost. Krađa identiteta jedna je od mogućih prijetnji ako se ova provjera ne izvrši.
Sljedeća priča opisuje što bi se moglo dogoditi ako se ne izvrši provjera vlasništva nad domenom.
Tvrtka s DNS domenom postavljenom na "hacker.com" kupuje Cisco Webex Hybrid Services. Druga tvrtka, s vlastitom domenom postavljenom na "example.com", također koristi hibridne usluge. Jedan od glavnih menadžera tvrtke Example.com zove se Jane Roe i ima imenik URI jane.roe@example.com.
Administratorica tvrtke Hacker.com postavlja jedan od svojih URI-ja direktorija kako bi jane.roe@example.com, a adresu e-pošte na jane.roe@hacker.com. Ona to može učiniti jer oblak ne provjerava SIP URI domenu u ovom primjeru.
Zatim se prijavljuje u Cisco Webex Teams s jane.roe@hacker.com. Budući da je vlasnica domene, e-pošta za potvrdu se čita i odgovara na njih i može se prijaviti. Konačno, ona poziva kolegu, Johna Doea, birajući john.doe@example.com iz svoje cisco webex teams aplikacije. John sjedi u svom uredu i vidi poziv na svom video uređaju koji dolazi iz jane.roe@example.com; to je direktorij URI povezan s tim računom e-pošte.
"Ona je u inozemstvu", misli on. "Možda će joj trebati nešto važno." On se javlja na telefon, a lažna Jane Roe traži važne dokumente. Objašnjava da joj je uređaj pokvaren, a budući da putuje, traži od njega da dokumente pošalje na njezinu privatnu adresu e-pošte, jane.roe@hacker.com. Na taj način, tvrtka shvaća tek nakon što se Jane Roe vrati u ured da su važne informacije procurile izvan tvrtke.
Tvrtka Example.com ima mnogo načina za zaštitu od lažnih poziva koji dolaze s Interneta, ali jedna od odgovornosti Cisco Webex oblaka je osigurati da je identitet bilo koga tko zove iz Cisco Webexa ispravan i da nije krivotvoren.
Da biste provjerili identitet, Cisco Webex zahtijeva da tvrtka dokaže da posjeduje domene koje se koriste u hibridnom pozivu. Ako se to ne, neće raditi.
Da biste osigurali to vlasništvo, potrebna su dva koraka provjere domene:
Dokažite da tvrtka posjeduje domenu e-pošte, domenu Expressway-E, URI domenu direktorija.
Sve te domene moraju biti usmjerive i poznate od strane javnih DNS poslužitelja.
Da bi dokazao vlasništvo, DNS administrator mora unijeti DNS tekstni zapis (TXT). TXT zapis je vrsta zapisa resursa u DNS-u koji se koristi za pružanje mogućnosti povezivanja nekog proizvoljnog i neoblikovanog teksta s glavnim računalom ili drugim nazivom.
DNS administrator mora unijeti taj TXT zapis u zonu čije vlasništvo mora biti dokazano. Nakon tog koraka, Cisco Webex oblak izvodi upit TXT zapisa za tu domenu.
Ako je TXT upit uspješan i rezultat odgovara tokenu koji je generiran iz Cisco Webex oblaka, domena se provjerava.
Na primjer, administrator mora dokazati da posjeduje domenu "example.com", ako želi da Cisco Webex Hybrid Services radi na svojoj domeni.
- Kroz https://admin.webex.com, ona započinje postupak provjere stvaranjem TXT zapisa koji odgovara tokenu koji je cisco Webex oblak generirao:
- DNS administrator zatim stvara TXT zapis za ovu domenu s vrijednošću postavljenom na 123456789abcdef123456789abcdef123456789abcdef123456789abcdef, kao u sljedećem primjeru:
U ovom trenutku oblak može provjeriti odgovara li TXT zapis za domenu example.com tokenu.
- Oblak izvodi TXT DNS pretraživanje:
Budući da TXT vrijednost odgovara vrijednosti tokena, ovo podudaranje dokazuje da je administrator dodao TXT zapis za vlastitu domenu u javni DNS i da je ona vlasnik domene.
Provjera vlasništva DNS naziva na expressway-E.
Oblak mora provjeriti ima li Expressway-E potvrđeni identitet jednog od tijela za izdavanje certifikata kojem oblak vjeruje. Administrator brze ceste-E mora zatražiti javnu potvrdu za svoju brzu cestu-E jednom od tih tijela za izdavanje certifikata. Da bi izdala certifikat, ustanova za izdavanje certifikata provodi postupak provjere identiteta na temelju provjere valjanosti domene (za certifikate potvrđene domenom) ili provjere valjanosti tvrtke ili ustanove (za certifikate provjerene u tvrtki ili ustanovi).
Pozivi u i iz oblaka ovise o potvrdi koja je izdana na Expressway-E. Ako certifikat nije valjan, poziv se odustaje.
Domaćin konektora Expressway-C mora biti registriran na Cisco Webex kako bi hibridne usluge funkcionirale.
Expressway-C se implementira u internu mrežu, a način na koji se registrira u oblaku je putem izlazne HTTPS veze - iste vrste koja se koristi za bilo koji preglednik koji se povezuje s web poslužiteljem.
Registracija i komunikacija s Cisco Webex oblakom koristi TLS. Expressway-C je TLS klijent, a Cisco Webex oblak je TLS poslužitelj. Kao takav, Expressway-C provjerava certifikat poslužitelja.
Ustanova za izdavanje certifikata potpisuje certifikat poslužitelja pomoću vlastitog privatnog ključa. Svatko s javnim ključem može dekodirati taj potpis i dokazati da je ista ustanova za izdavanje certifikata potpisala taj certifikat.
Ako Expressway-C mora potvrditi certifikat koji pruža oblak, mora koristiti javni ključ ustanove za izdavanje certifikata koja je potpisala taj certifikat za dekodiranje potpisa. Javni ključ nalazi se u potvrdi ustanove za izdavanje certifikata. Da biste uspostavili povjerenje u ustanove za izdavanje certifikata koje koristi oblak, popis certifikata tih pouzdanih ustanova za izdavanje certifikata mora se nalaziti u trgovini povjerenja za Expressway. Na taj način Brza cesta može potvrditi da poziv doista dolazi iz cisco webex oblaka.
Ručnim prijenosom sve relevantne certifikate ustanove za izdavanje certifikata možete prenijeti u spremište pouzdanih uređaja Expressway-C.
Uz automatsko učitavanje, oblak sam prenosi te certifikate u spremište pouzdanih uređaja Expressway-C. Preporučujemo da koristite automatski prijenos. Popis certifikata može se promijeniti, a automatski prijenos jamči da ćete dobiti popis s najviše ažuriranja.
Ako dopustite automatsku instalaciju certifikata ustanove za izdavanje certifikata, preusmjeravate se https://admin.webex.com na (portal za upravljanje). Preusmjeravanje obavlja sama Autocesta-C bez ikakve intervencije korisnika. Vi, kao administrator Cisco Webexa, morate provjeriti autentičnost putem HTTPS veze. Ubrzo nakon toga, oblak gura CA certifikate na Expressway-C.
Dok se certifikati ne prenesu u spremište pouzdanosti Expressway-C, HTTPS veza se ne može uspostaviti.
Da bi se izbjegao taj problem, Expressway-C je predinstaliran s CISCO Webexpouzdanim CA certifikatima. Ti se certifikati koriste samo za postavljanje i provjeru valjanosti početne HTTPS veze i ne pojavljuju se na popisu pouzdanih za Expressway-C. Nakon što se certifikati pouzdanih ustanova za izdavanje certifikata povuku iz oblaka putem ove početne HTTPS veze, ti su certifikati dostupni za korištenje na razini cijele platforme; zatim se pojavljuju na popisu pouzdanih za Expressway-C.
Potreban je administratorski pristup programu Expressway-C i https://admin.webex.comsustavu . Te veze koriste HTTPS i šifrirane su.
Certifikati se guraju iz oblaka u Expressway koristeći istu šifriranu vezu.
Ovaj popis prikazuje certifikate ustanove za izdavanje certifikata koje cisco Webex oblak trenutno koristi. Ovaj se popis može promijeniti u budućnosti:
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certificate Authority
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority - G2
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Samo za ovlaštenu uporabu, CN=thawte Primary Root CA
C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certificate Authority
Popis certifikata ustanove za izdavanje certifikata potreban je i za Expressway-E u traversalnom paru. Expressway-E komunicira s Cisco Webex oblakom pomoću SIP-a s TLS-om, koji se provodi uzajamnom provjerom autentičnosti. Expressway-E vjeruje pozivima koji dolaze iz oblaka i odlaze u oblak, samo ako CN ili SAN certifikata koji je oblak predstavio tijekom postavljanja TLS veze odgovara nazivu predmeta konfiguriranom za DNS zonu na Expresswayu ("callservice.ciscospark.com"). Ustanova za izdavanje certifikata izdaje certifikat tek nakon provjere identiteta. Vlasništvo nad domenom callservice.ciscospark.com mora se dokazati da bi se certifikat potpisao. Budući da smo (Cisco) vlasnici te domene, DNS naziv "callservice.ciscospark.com" izravan je dokaz da je udaljeni vršnjak uistinu Cisco Webex.
Calendar Connector integrira Cisco Webex sa sustavom Microsoft Exchange 2010, 2013, 2016 ili Office 365 putem računa za oponašanje. Uloga upravljanja oponašanjem aplikacije u sustavu Exchange aplikacijama omogućuje oponašanje korisnika u tvrtki ili ustanovi za izvršavanje zadataka u ime korisnika. Uloga oponašanja aplikacije mora biti konfigurirana u sustavu Exchange i koristi se u povezniku kalendara kao dio konfiguracije sustava Exchange na sučelju Expressway-C.
Račun za oponašanje sustava Exchange preporučena je Microsoftova metoda za ovaj zadatak. Administratori brze ceste-C ne moraju znati lozinku jer vrijednost u sučelje Expressway-C može unijeti administrator sustava Exchange. Lozinka nije jasno prikazana, čak i ako administrator brze ceste-C ima root pristup okviru Expressway-C. Lozinka je pohranjena šifrirana istim mehanizmom šifriranja vjerodajnica kao i druge lozinke na Expressway- C.
Za dodatnu sigurnost slijedite korake u Vodiču za implementaciju cisco webex hibridnog kalendarskog servisa da biste omogućili TLS kako biste osigurali EWS veze na žici.