Ortamınızda Cisco Webex Karma Hizmetlerini dağıtırken sorun yaşıyor olabilirsiniz. Veya tasarımla ilgili dikkate alınması gereken bazı şeyleri daha iyi anlamak istiyorsunuzdur. Bu makale; güvenlik duvarıyla ilgili dikkate alınması gerekenler, sertifika yetkilileri ve etki alanı sahipliği gibi önemli karma öğeleri anlamanıza yardımcı olacak bir kontrol listesi olarak kullanılabilir.
Bu bölümde, Cisco Webex Karma Hizmetler ile ilgili önemli yapılandırma öğeleri hakkında daha fazla bağlam sağlanmıştır.
Bu puanlar Cisco Webex Karma Hizmetler, ve karma Takvim hizmeti benzer şekilde barındırılan üç Sway tuvalini başarıyla dağıtmak istiyorsanız önemlidir Karma Çağrı Hizmeti . Bu öğeleri, özellikle aşağıdaki nedenlerle vurguladık:
-
Karma dağıtımdaki rollerini anlamanızı sağlamak ve endişelerinizi gidermek için bunları size anlatmak istiyoruz.
-
Bulutumuz ile şirket içi ortamınız arasında güvenli bir dağıtım sağlayan zorunlu ön koşullar vardır.
-
Bunların, sıfırıncı gün öncesi etkinlikler olarak ele alınmaları gerekir: Kullanıcı arayüzündeki tipik bir yapılandırmaya göre tamamlanmaları daha uzun sürebilir, bu nedenle bu öğelerin ele alınması için belirli bir zaman tanıyın.
-
Bu öğeler ortamınızda ele alındıktan sonra, Cisco Webex Karma Hizmetler yapılandırmanızın geri kalanı sorunsuz şekilde işleyecektir.
Expressway-C ve Expressway-E çift dağıtımı, İnternet’e ve İnternet’ten yapılan çağrıların güvenlik duvarı geçiş teknolojilerini kullanmasını sağlar. Bu dağıtım, şirket içi çağrı kontrolünü güvenli bir şekilde alıp Cisco Webex uygulamasına bağlar.
Expressway-C ve Expressway-E, güvenlik duvarı geçiş mimarisi nedeniyle tarafsız bölge (DMZ) güvenlik duvarında gelen bağlantı noktasının açılmasını gerektirmez. Ancak TCP SIP sinyali bağlantı noktaları ve UDP ortam bağlantı noktaları, gelen çağrıların ulaşması için İnternet güvenlik duvarında gelen olarak açılmalıdır. Kuruluş güvenlik duvarınızda uygun bağlantı noktasının açılması için zaman tanımanız gerekir.
Örneğin, SIP protokolünü kullanan gelen işletmeden işletmeye (B2B) çağrılar için ses, video, içerik paylaşımı, çift video, vb. hizmetlere yönelik olarak kullanılan UDP ortam bağlantı noktalarıyla birlikte harici güvenlik duvarında TCP bağlantı noktaları 5060 ve 5061 (SIP TLS için 5061 kullanılır) açılmalıdır. Hangi ortam bağlantı noktalarının açılacağı, eş zamanlı çağrıların ve hizmetlerin sayısına bağlıdır.
Expressway’deki SIP dinleme bağlantı noktasını, 1024 ile 65534 arasında bir değer olacak şekilde yapılandırabilirsiniz. Aynı zamanda, bu değer ve protokol türü genel DNS SRV kayıtlarında gösterilmeli ve İnternet güvenlik duvarında aynı değer açılmalıdır.
SIP TCP’nin standardı 5060 ve SIP TLS’nin standardı 5061 olsa da aşağıdaki örnekte gösterildiği gibi hiçbir şey farklı bağlantı noktalarının kullanılmasını engelleyemez.
- Örnek
-
Bu örnekte, gelen SIP TLS çağrıları için bağlantı noktası 5062’nin kullanıldığını varsayarız.
İki Expressway sunucusunun kümesi için DNS SRV kaydı şunun gibi görünür:
- _sips._tcp.example.com SRV hizmeti konumu:
-
priority = 10
weight = 10
port = 5062
svr hostname = us-expe1.example.com
- _sips._tcp.example.com SRV hizmeti konumu:
-
priority = 10
weight = 10
port = 5062
svr hostname = us-expe2.example.com
Bu kayıtlar, çağrıların taşıma türü olarak TLS ve dinleme bağlantı noktası olarak 5062’nin kullanımıyla us-expe1.example.com ve us-expe2.example.com’a eşit yük paylaşımıyla (öncelik ve ağırlık) yönlendirildiği anlamına gelir.
Ağda (internette) harici olan ve kurumsal etki alanının (user1@example.com) kullanıcısına SIP çağrısı yapan cihaz, kullanılacak taşıma türünü, bağlantı noktası numarasını, trafiğin yük paylaşımını ve çağrının gönderileceği SIP sunucularını anlamak için DNS’i sorgulamalıdır.
DNS girişi _sips._tcp içeriyorsa giriş SIP TLS’yi belirtir.
TLS, istemci sunucu protokolüdür ve en yaygın uygulamalarda kimlik doğrulama için sertifikalar kullanır. İşletmeden işletmeye çağrı senaryosunda, TLS istemcisi arayan cihaz ve TLS sunucusu aranan cihaz olur. TLS ile istemci, sunucunun sertifikasını kontrol eder ve sertifika kontrolü başarısız olursa çağrının bağlantısını keser. İstemcinin sertifikaya ihtiyacı yoktur.
Bununla birlikte, TLS spesifikasyonu sunucunun TLS el sıkışma protokolü sırasında istemciye Sertifika İsteği mesajı göndererek de istemci sertifikasını kontrol edebileceğini belirtir. Bu mesaj, Expressway-E ve Cisco Webex bulutu arasında yapılan çağrı gibi sunucudan sunucuya bir bağlantıda yararlı olur. Bu kavram, karşılıklı kimlik doğrulama ile TLS olarak adlandırılır ve Cisco Webex ile entegrasyon sırasında gerekli olur.
Bulut Expressway kimliğini, Expressway de bulut kimliğini kontrol eder. Örneğin, sertifikadaki (CN veya SAN) bulut kimliği Expressway’de yapılandırılanla eşleşmezse bağlantı kesilir.
Karşılıklı kimlik doğrulama etkinleştirilirse Expressway-E her zaman istemci sertifikasını ister. Sonuç olarak çoğu durumda sertifikalar Jabber istemcilerinde dağıtılmadığı için Mobil ve Remote Access (MRA) çalışmaz. İşletmeden işletmeye senaryoda, arayan varlık sertifika sağlayamazsa çağrının bağlantısı kesilir.
Karşılıklı kimlik doğrulama ile TLS için 5062 gibi 5061’den farklı bir değer kullanmanızı öneririz. Cisco Webex Karma Hizmetleri, B2B için kullanılanla aynı SIP TLS kaydını kullanır. Bağlantı noktası 5061’de, TLS istemci sertifikası sağlayamayan bazı diğer hizmetler çalışmaz.
Aynı Expressway çiftinde İşletmeden işletmeye, Mobil ve Remote Access ve de Cisco Webex trafiği
Karşılıklı doğrulama ile işletmeden işletmeye ve Mobil ve Remote Access çağrıları, SIP TLS için bağlantı noktası 5061’i ve Cisco Webex trafiği, SIP TLS için bağlantı noktası 5062’yi kullanır.
Etki alanı sahibi kontrolü, kimlik doğrulamanın parçasıdır. Etki alanı doğrulama, Cisco Webex bulutunun gerçekten söylediğiniz kişi olduğunuzu kanıtlamak için uyguladığı güvenlik önlemi ve kimlik kontrolüdür.
Kimlik kontrolü, iki aşamada gerçekleştirilir:
-
Etki alanı sahipliği kontrolü. Bu adım, üç etki alanı türü içerir ve bir kerelik doğrulama kontrolüdür:
-
Etki alanını talep et
-
Expressway-E DNS etki alanı
-
Dizin URI'sı etki alanı
-
-
Expressway-E DNS adı sahiplik kontrolü. Bu adım, karşılıklı kimlik doğrulama ile TLS uygulanarak gerçekleştirilir ve hem bulut hem de Expressway’de genel sertifikaların kullanımını içerir. Etki alanı kimlik kontrolünün aksine, bu adım buluta yapılan ve buluttan alınan tüm çağrılar sırasında gerçekleştirilir.
Etki Alanı Sahipliği Kontrolünün Önemini Gösteren bir Hikaye
Cisco Webex bulut, güvenliği sağlamak için etki alanı sahipliği kontrolünü yapar. Bu kontrol yapılmazsa kimlik hırsızlığı tehdidi oluşabilir.
Aşağıdaki hikayede, etki alanı sahipliği kontrolü yapılmazsa neler yaşanabileceği ayrıntılı olarak açıklanmıştır.
DNS etki alanı “hacker.com” olarak ayarlanan bir şirket Cisco Webex Karma Hizmetleri’ni satın alır. Etki alanı "example.com" olarak ayarlanan başka bir şirket de karma hizmetleri kullanmaktadır. Example.com şirketinin genel müdürlerinden birinin adı Jane Roe ve dizin URI’si jane.roe@example.com’dur.
Hacker.com şirketinin yöneticisi, dizin URI’lerinden birini jane.roe@example.com ve e-posta adresini jane.roe@hacker.com olarak ayarlar. Bunu, bulut bu örnekte SIP URI etki alanını kontrol etmediği için yapabilir.
Ardından, jane.roe@hacker.com ile Cisco Webex Teams üzerinde oturum açar. Etki alanına sahip olduğu için doğrulama e-postası okunup yanıtlanır ve oturum açabilir. Son olarak Cisco Webex Teams uygulamasından john.doe@example.com’u arayarak iş arkadaşı John Doe’ya çağrı yapar. John ofisinde otururken video cihazında jane.roe@example.com’dan gelen bir çağrı görür; bu, e-posta hesabıyla ilişkili dizin URI’sidir.
"O yurt dışında." diye düşünür. “Önemli bir şeye ihtiyacı olabilir.” Telefonu yanıtlar ve sahte Jane Roe önemli belgeler ister. Cihazının bozuk olduğunu söyler ve seyahatte olduğu için ondan belgeleri özel e-posta adresi jane.roe@hacker.com’a göndermesini ister. Bu şekilde, şirket yalnızca Jane Roe ofise döndükten sonra önemli bilgilerin şirket dışına sızdırıldığında fark edebilir.
Example.com şirketi, internetten gelen kötü amaçlı çağrılara karşı korunmak için birçok yöntem uygulayabilir ancak Cisco Webex bulutun sorumluluklarından biri, Cisco Webex uygulamasından arayan herhangi bir kişinin doğru olduğundan ve sahte olmadığından emin olmaktır.
Cisco Webex, kimliği kontrol etmek için şirketin karma aramada kullanılan etki alanlarına sahip olduğunu kanıtlamasını gerekli kılar. Kanıtlayamazsa çalışmaz.
Bu sahiplikten emin olmak için iki etki alanı doğrulama adımı gereklidir:
-
Şirketin e-posta etki alanına, Expressway-E etki alanına, Dizin URI etki alanına sahip olduğunu kanıtlama.
-
Tüm bu etki alanı, yönlendirilebilir olmalı ve genel DNS sunucuları tarafından tanınmalıdır.
-
DNS yöneticisi, sahipliği kanıtlamak için DNS Metin kaydı (TXT) girmelidir. TXT kaydı, bazı rastgele ve biçimlendirilmemiş metinleri bir ana bilgisayarla veya başka bir adla ilişkilendirme imkanı sağlamak için kullanılan, DNS’teki kaynak kaydı türüdür.
-
DNS yöneticisi, bu TXT kaydını sahipliğinin kanıtlanması gereken bölgeye girmelidir. Bu adımdan sonra, Cisco Webex bulutu bu etki alanı için bir TXT kaydı sorgusu gerçekleştirir.
-
TXT sorgusu başarılı olursa ve sonuç Cisco Webex bulutundan oluşturulan belirteçle eşleşirse etki alanı doğrulanır.
-
Örnek olarak yönetici Cisco Webex Karma Hizmetleri’nin etki alanında çalışmasını istiyorsa “example.com” etki alanına sahip olduğunu kanıtlamalıdır.
-
https://admin.webex.com aracılığıyla, Cisco Webex bulutunun oluşturduğu belirteçle eşleşecek bir TXT kaydı oluşturarak doğrulama süresini başlatır:
-
Ardından DNS yöneticisi, aşağıdaki örnekte olduğu gibi değerin 123456789abcdef123456789abcdef123456789abcdef123456789abcdef olarak ayarlandığı bu etki alanı için bir TXT kaydı oluşturur:
-
Bu noktada, bulut example.com etki alanı için TXT kaydının belirteçle eşleştiğini doğrulayabilir.
-
Bulut, TXT DNS araması gerçekleştirir:
-
TXT değeri belirteç değeriyle eşleştiğinden, bu eşleşme yöneticinin genel DNS’e kendi etki alanı için TXT kaydını eklediğini ve etki alanına sahip olduğunu kanıtlar.
-
-
Expressway-E DNS Adı sahiplik kontrolü.
-
Bulut, Expressway-E’nin, bulutun güvendiği sertifika yetkililerinin birinden gelen kimliği onayladığını kontrol etmelidir. Expressway-E yöneticisi, bu sertifika yetkililerinden birine Expressway-E için genel bir sertifika istemelidir. Sertifika yetkilisi, sertifikayı vermek için etki alanı doğrulama kontrolünü (etki alanı doğrulanmış sertifikalar için) veya kuruluş doğrulama kontrolünü (kuruluşu doğrulanmış sertifikalar için) temel alan bir kimlik doğrulama süreci gerçekleştirir.
-
Buluta ve buluttan yapılan çağrılar, Expressway-E’ye verilen sertifikaya bağlı olur. Sertifika geçerli değilse çağrı kesilir.
-
Expressway-C bağlayıcısı ana bilgisayarı, Cisco Webexkarma hizmetlerin çalışması için uygulamasına kaydedilmelidir.
Expressway-C, dahili ağda dağıtılır ve buluta giden HTTPS bağlantısı aracılığıyla kaydolur. Bu, web sunucusuna bağlanan herhangi bir tarayıcı için kullanılan türdür.
Cisco Webex bulutunda kayıt ve iletişim için TLS kullanılır. Expressway-C, TLS istemcisi ve Cisco Webex bulutu, TLS sunucusudur. Bu nedenle, Expressway-C sunucu sertifikasını kontrol eder.
Sertifika yetkilisi, kendi özel anahtarını kullanarak sunucu sertifikasını imzalar. Genel anahtara sahip herkes bu imzanın kodunu çözebilir ve bu sertifikayı aynı sertifika yetkilisinin imzaladığını kanıtlayabilir.
Expressway-C’nin bulut tarafından sağlanan sertifikayı doğrulaması gerekiyorsa imzanın kodunu çözmek için bu sertifikayı imzalayan sertifika anahtarının genel anahtarını kullanmalıdır. Genel anahtar, sertifika yetkilisinin sertifikasında yer alır. Bulut tarafından kullanılan sertifika yetkilileriyle güven oluşturmak için bu güvenilir sertifika yetkililerinin sertifika listesi Expressway’in güven deposunda bulunmalıdır. Böylece, Expressway çağrının gerçekten Cisco Webex bulutundan geldiğini doğrulayabilir.
Manuel yüklemeyle, ilgili tüm sertifika yetkilisi sertifikalarını Expressway-C’nin güven deposuna yükleyebilirsiniz.
Otomatik yüklemeyle, bu sertifikaları Expressway-C’nin güven deposuna bulut yükler. Otomatik yüklemeyi kullanmanızı öneririz. Sertifika listesi değişebilir ve otomatik yükleme en güncel listeyi almanızı sağlar.
Sertifika yetkilisi sertifikalarının otomatik olarak yüklenmesine izin verirseniz https://admin.webex.com uygulamasına (yönetim portalı) yönlendirilirsiniz. Yönlendirme, herhangi bir kullanıcı müdahalesi olmadan Expressway-C tarafından yapılır. Cisco Webex yöneticisi olarak HTTPS bağlantısı aracılığıyla kimlik doğrulaması yapmanız gerekir. Kısa süre sonra, bulut CA sertifikalarını Expressway-C’ye aktarır.
Sertifikalar Expressway-C güven deposuna yüklenene dek, HTTPS bağlantısı oluşturulamaz.
Bu sorundan kaçınmak için Expressway-C’ye Cisco Webex güvenilir CA sertifikaları önceden yüklenir. Bu sertifikalar, yalnızca ilk HTTPS bağlantısını kurmak ve doğrulamak için kullanılır ve Expressway-C güven listesinde görünmez. Güvenilir sertifika yetkililerinin sertifikaları bu ilk HTTPS bağlantısıyla buluttan alındığında, bu sertifikalar platform genelinde kullanılabilir. Daha sonra Expressway-C güven listesinde görünürler.
-
Expressway-C ve https://admin.webex.com için yönetici erişimi gerektirir. Bu bağlantılar HTTPS kullanır ve şifrelidir.
-
Sertifikalar, aynı şifrelenmiş bağlantı kullanılarak buluttan Expressway’e aktarılır.
Bu liste, Cisco Webex bulutunun kullanmakta olduğu sertifika yetkilisi sertifikalarını gösterir. Bu liste, gelecekte değişebilir:
-
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
-
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root
-
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Sınıf 2 Sertifika Yetkilisi
-
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Kök Sertifika Yetkilisi - G2
-
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
-
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - Yalnızca yetki verilmiş kullanım için CN=thawte Primary Root CA
-
C=US, O=VeriSign, Inc., OU=Sınıf 3 Genel Birincil Sertifika Yetkilisi
Geçiş çiftinde Expressway-E için sertifika yetkilisi sertifikalarının listesi de gerekir. Expressway-E, karşılıklı kimlik doğrulama tarafından uygulanan TLS ile SIP’i kullanarak Cisco Webex bulutuyla iletişim kurar. Expressway-E, yalnızca TLS bağlantısının kurulumu sırasında bulut tarafından sunulan sertifikanın CN’si veya SAN’si Expressway’deki DNS bölgesi için yapılandırılan konu adıyla ("callservice.webex.com") eşleşirse buluttan gelen ve buluta giden çağrılara güvenir. Sertifika yetkilisi, yalnızca kimlik kontrolünden sonra bir sertifika yayınlar. Sertifikanın imzalanması için callservice.webex.com etki alanının sahipliği kanıtlanmalıdır. Bu etki alanına biz (Cisco) sahip olduğumuz için DNS adı "callservice.webex.com", uzak eşin gerçekten Cisco Webex olduğunu kanıtlar.
Takvim Bağlayıcı Kimliğe bürünme hesabı aracılığıyla Cisco Webex uygulamasını Microsoft Exchange 2010, 2013, 2016 veya Office 365’e entegre eder. Exchange’deki Uygulama kimliğe bürünme yönetim rolü, uygulamaların bir kuruluştaki kullanıcı adına görevler gerçekleştirmek için o kullanıcının kimliğine bürünmesini sağlar. Uygulama kimliğe bürünme rolü, Exchange’de yapılandırılmalıdır ve Takvim Bağlayıcı uygulamasında Expressway-C arayüzündeki Exchange yapılandırmasının parçası olarak kullanılır.
Exchange kimliğe bürünme hesabı, bu görev için Microsoft'un önerdiği yöntemdir. Değer Exchange yöneticisi tarafından Expressway-C arayüzüne girilebileceği için Expressway-C yöneticilerinin parolayı bilmesine gerek yoktur. Expressway-C yöneticisinin Expressway-C kutusuna kök erişimi olsa da parola açıkça gösterilmez. Parola, Expressway-C üzerindeki diğer parolalar için olan ile aynı kimlik şifreleme mekanizması kullanılarak şifrelenip saklanmaktadır.
Ek güvenlik olarak, hat üzerindeki EWS bağlantılarının güvenliğini sağlamak amacıyla TLS’i etkinleştirmek için Cisco Webex Karma Takvim Hizmeti Uygulama Kılavuzundaki adımları izleyin.