Esta sección describe la característica de soporte de proxy para la seguridad de datos híbridos. Está pensado para complementar la Guía de implementación para Cisco Webex seguridad de datos híbridos, disponible en https://www.cisco.com/go/hybrid-data-security. En una implementación nueva, configure la configuración del proxy en cada nodo después de cargar y montar el ISO de configuración de HDS en el nodo, y antes de registrar el nodo con la nube de Cisco Webex.

Compatibilidad de proxy

La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.

Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

  • Sin proxy: es la opción predeterminada si no utiliza la configuración del nodo de HDS configuración de la configuración del proxy de almacenamiento de confianza & para integrar un proxy. No es necesaria la actualización del certificado.

  • Proxy sin inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no es necesario que los cambios funcionen con un proxy sin inspección. No es necesaria la actualización del certificado.

  • Túnel transparente o inspección de proxy: los nodos no están configurados para usar una dirección servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).

  • Proxy explícito: con un Proxy explícito, usted indica a los nodos de HDS qué servidor proxy y el esquema de autenticación usar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:

    1. IP/FQDNde proxy: dirección que se puede utilizar para comunicarse con la máquina proxy.

    2. Puertode proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

    3. Protocolo proxy: según lo que admita su servidor proxy, elija entre los siguientes protocolos:

      • HTTP: permite ver y controlar todas las solicitudes que envía el cliente.

      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

    4. Tipo de autenticación:Elija uno de los siguientes tipos de autenticación:

      • Ninguno: no se necesita ninguna autenticación adicional.

        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

      • Básico: se utiliza para que un agente de usuario de http proporcione una nombre de usuario y contraseña al realizar una solicitud. Utiliza la codificación Base64.

        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

      • Síntesis: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

        Disponible solo si selecciona HTTPS como protocolo de proxy.

        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

Ejemplo de nodos de seguridad de datos híbridos y proxy

En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.

Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)

Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.

Requisitos del servidor proxy

  • Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.

    • Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.

    • Proxy explícito: squid.

      Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de WebSocket (WSS:) Conexiones. Para solucionar este problema, consulte Configurar proxies squid para la seguridad de datos híbridos.

  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

    • Sin autenticación con HTTP o HTTPS

    • Autenticación básica con HTTP o HTTPS

    • Autenticación de compendio solo con HTTPS

  • Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.

  • La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.

  • Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar) el tráfico a wbx2.com y ciscospark.com se resolverá el problema.

Configurar el nodo de HDS para la integración de proxy

Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.

Antes de empezar

1

Ingrese la URL de configuración del nodo de HDS https://[HDS node IP o FQDN]/Setup en un explorador Web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en iniciar sesión.

2

Seleccione Trust Store & proxyy, a continuación, elija una opción:

  • Sin proxy: la opción predeterminada antes de integrar un proxy. No es necesaria la actualización del certificado.
  • Proxy sin inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no es necesario que los cambios funcionen con un proxy sin inspección. No es necesaria la actualización del certificado.
  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos de HDS necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
  • Proxy explícito: con un Proxy explícito, usted indica al cliente (nodos de HDS) que servidor proxy utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:

    1. IP/FQDNde proxy: dirección que se puede utilizar para comunicarse con la máquina proxy.

    2. Puertode proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

    3. Protocolode proxy: seleccione http (permite ver y controlar todas las solicitudes recibidas del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción según el soporte de su servidor proxy.

    4. Tipo de autenticación:Elija uno de los siguientes tipos de autenticación:

      • Ninguno: no se necesita ninguna autenticación adicional.

        Disponible para proxies HTTP o HTTPS.

      • Básico: se utiliza para que un agente de usuario de http proporcione una nombre de usuario y contraseña al realizar una solicitud. Utiliza la codificación Base64.

        Disponible para proxies HTTP o HTTPS.

        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

      • Síntesis: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

        Disponible solo para proxies HTTPS.

        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito.

3

Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy.

El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo.

4

Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema.

Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

5

Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen.

6

Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo.

El nodo se reinicia en unos minutos.
7

Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde.

La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy.

Esta sección describe la característica de soporte de proxy para Webex red de vídeo. Está pensado para complementar la Guía de implementación para red de vídeo de Cisco Webex, disponible en https://www.cisco.com/go/video-mesh. En una implementación nueva, configure la configuración del proxy en cada nodo después de implementar el software de la red de vídeo en un entorno de máquina virtual y antes de inscribir el nodo con la nube de Cisco Webex.

Soporte de proxy para Red de vídeo de Cisco Webex

Red de vídeo de Cisco Webex admite servidores proxy explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su Webex implementación de la red de vídeo para poder proteger y supervisar el tráfico de la empresa a la nube. Esta característica envía tráfico basado en https de administración y señalización al proxy. Para los proxies transparentes, las solicitudes de red de los nodos de la red de vídeo se reenvían a un proxy específico a través de las reglas de enrutamiento de la red empresarial. Puede utilizar la interfaz de administración de la red de vídeo Webex para administración de certificados y el estado general de conectividad después de implementar el proxy con los nodos.


Los medios no viajan a través del proxy. Aún debe abrir los puertos necesarios para que las transmisiones de medios lleguen directamente a la nube.

La red de vídeo admite los siguientes tipos de proxy:

  • Proxy explícito (inspección o sin inspección): con un Proxy explícito, usted indica al cliente (nodos de la red de vídeo) que servidor proxy utilizar. Esta opción admite uno de los siguientes tipos de autenticación:

    • Ninguno: no se necesita ninguna autenticación adicional. (Para Proxy explícito HTTP o HTTPS).

    • Básico: se utiliza para que un agente de usuario de HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud, y utiliza la codificación de Base64. (Para Proxy explícito HTTP o HTTPS).

    • Síntesis: se utiliza para confirmar la identidad de la cuenta antes de enviar información confidencial y aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red. (Para el Proxy explícito de HTTPS).

    • NTLM: al igual que Digest, se utiliza NTLM para confirmar la identidad de la cuenta antes de enviar información confidencial. Utiliza las credenciales de Windows en lugar del nombre de usuario y la contraseña. Este esquema de autenticación requiere que se completen varios intercambios. (Para Proxy explícito HTTP).

  • Proxy transparente (sin inspección): los nodos de la red de vídeo no están configurados para usar una dirección de servidor proxy específica y no es necesario que los cambios funcionen con un proxy sin inspección.

  • Proxy transparente (inspección): los nodos de la red de vídeo no están configurados para usar una dirección servidor proxy específica. No es necesario ningún cambio en la configuración de http (s) en la red de vídeo, sin embargo, los nodos de la red de vídeo necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en relación con qué sitios web se pueden visitar y los tipos de contenido que no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso https).

Figura 1. Ejemplo de Webex nodos de la red de vídeo y proxy.

Este diagrama muestra una conexión de ejemplo entre la Webex red de vídeo, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y de inspección explícita, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de la red de vídeo.

Requisitos para el soporte de proxy para Webex red de vídeo

  • Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con los nodos de la red de vídeo de Webex.

    • Cisco Web Security Appliance (WSA) para proxy transparente

    • Squid para Proxy explícito

  • En el caso de un Proxy explícito o un proxy de inspección transparente que inspecciona (descifra el tráfico), debe tener una copia del certificado raíz del proxy que necesitará cargar en el almacén de confianza del nodo de la red de vídeo Webex en la interfaz Web.

  • Admitimos las siguientes combinaciones de Proxy explícito y tipo de autenticación:

    • Sin autenticación con http y https

    • Autenticación básica con http y https

    • Autenticación de compendio solo con https

    • Autenticación NTLM solo con http

  • Para los proxies transparentes, debe utilizar el router/interruptor para obligar al tráfico HTTPS/443 a que vaya al proxy. También puede obligar a web socket/444 a que se conecte al proxy. (El socket Web utiliza https). El puerto 444 depende de la configuración de la red. Si el puerto 444 no se enruta a través del proxy, debe estar abierto directamente desde el nodo a la nube.


    Webex red de vídeo requiere conexiones de socket web a los servicios en la nube para que los nodos funcionen correctamente. En los proxies explícitos de inspección y inspección transparente, se alteran los encabezados HTTP necesarios para una conexión de WebSocket adecuada y fallan las conexiones de WebSocket.

    El síntoma cuando esto ocurre en el puerto 443 (con el proxy de inspección transparente activado) es una advertencia posterior al registro en control Hub: "Webex las llamadas de SIP de la red de vídeo no funcionan correctamente". La misma alarma puede ocurrir por otros motivos cuando el proxy no está habilitado. Cuando los encabezados WebSocket están bloqueados en el puerto 443, los medios no fluyen entre aplicaciones y clientes SIP.

    Si el contenido multimedia no fluye, esto sucede a menudo cuando falla el tráfico HTTPS del nodo a través del puerto 444 o el puerto 443:

    • El proxy no está inspeccionando, pero el proxy no permite el tráfico del puerto 444.

    • El servidor proxy permite el puerto 443 o el puerto 444, pero es un proxy de inspección y está quebrantando el WebSocket.

    Para corregir estos problemas, es posible que tenga que "saltar" o "empalme" (deshabilitar inspección) en los puertos 444 y 443 a: *. wbx2.com y *. ciscospark.com.

Configurar Webex nodo de la red de vídeo para la integración de proxy

Utilice este procedimiento para especificar el tipo de proxy que desea integrar con una Webex red de vídeo. Si elige un proxy de inspección transparente o un Proxy explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz, verificar la conexión del proxy y solucionar cualquier problema potencial.

Antes de empezar

1

Introduzca la Webex URL de configuración de la red de vídeo https://[IP o FQDN/configuración en un explorador Web, introduzca las credenciales de administración que configuró para el nodo y, a continuación, haga clic en iniciar sesión.

2

Seleccione Trust Store & proxyy, a continuación, elija una opción:

  • Sin proxy: la opción predeterminada antes de integrar un proxy. No es necesaria la actualización del certificado.
  • Proxy sin inspección transparente: losnodos de la red de vídeo no están configurados para usar una dirección servidor proxy específica y no es necesario que los cambios funcionen con un proxy sin inspección. No es necesaria la actualización del certificado.
  • Proxy de inspección transparente: los nodos de la red de vídeo no están configurados para usar una dirección servidor proxy específica. No se necesitan cambios de configuración de http (s) en la red de vídeo; sin embargo, los nodos de la red de vídeo necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en relación con qué sitios web se pueden visitar y los tipos de contenido que no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso https).
  • Proxy explícito: con un Proxy explícito, usted indica al cliente (nodos de la red de vídeo) que servidor proxy utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:

    1. IP/FQDNde proxy: dirección que se puede utilizar para comunicarse con la máquina proxy.

    2. Puertode proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

    3. Protocolode proxy: seleccione http (la red de vídeo tuneliza su tráfico HTTPS a través del proxy http) o https (el tráfico desde el nodo de la red de vídeo al proxy utiliza el protocolo HTTPS). Elija una opción según el soporte de su servidor proxy.

    4. Elija entre los siguientes tipos de autenticación, según su entorno de proxy:

      Opción

      Uso de

      Ninguno

      Elija para proxies HTTP o HTTPS explícitos en los que no haya un método de autenticación.

      Básico

      Disponible para proxies HTTP o HTTPS explícitos.

      Se utiliza para que un agente de usuario de HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud, y utiliza la codificación de Base64.

      Digerir

      Disponible solo para proxies HTTPS explícitos.

      Se utiliza para confirmar la cuenta antes de enviar información confidencial y aplica una función hash a la nombre de usuario y contraseña antes de enviarla a través de la red.

      Ntlm

      Disponible solo para proxies HTTP explícitos.

      Al igual que Digest, se utiliza para confirmar la cuenta antes de enviar información confidencial. Utiliza las credenciales de Windows en lugar del nombre de usuario y la contraseña.

      Si selecciona esta opción, introduzca el Active Directory dominio que utiliza el proxy para la autenticación en el campo dominio de NTLM . Introduzca el nombre de la estación de trabajo proxy (también conocido como una cuenta de estación de trabajo o de máquina) dentro del dominio NTLM especificado en el campo de la estación de trabajo NTLM .

Siga los pasos que se indican a continuación para inspeccionar de manera transparente o un Proxy explícito.
3

Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, busque y elija el certificado raíz para el proxy de inspección explícito o transparente.

El certificado se carga, pero aún no se ha instalado porque el nodo debe reiniciarse para instalar el certificado. Haga clic en la flecha que aparece junto al nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo.

4

Para inspeccionar de manera transparente o proxies explícitos, haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo de la red de vídeo y el proxy.

Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema.
5

Después de que la prueba de conexión se haya superado, para el Proxy explícito, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen.

6

Haga clic en instalar todos los certificados en el almacén de confianza (aparece siempre que se agregó una certificado raíz durante la configuración del proxy) o reinicie (aparece si no se agregó certificado raíz), lea el mensaje y, a continuación, haga clic en instalar si está listo.

El nodo se reinicia en unos minutos.
7

Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde.

La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy.

Problemas de proxy

Qué tráfico pasa por el proxy

En el caso de la red de vídeo, los medios no atraviesan el proxy. Esta característica envía tráfico basado en https de administración y señalización al proxy. Aún debe abrir los puertos necesarios para que las transmisiones de medios lleguen directamente a la nube.

El puerto TCP 444 no está habilitado en el proxy

Este puerto es un requisito para la red de vídeo, ya que la red de vídeo utiliza este puerto para acceder a los servicios basados en la nube que debe utilizar para funcionar correctamente. Debe realizarse una excepción de proxy para este puerto y cualquiera según se documenta en la guía de implementación de la red de vídeo y los requisitos de red para los servicios de Webex Teams.


No se admite el filtrado de tráfico de señales por dirección IP, ya que las direcciones IP que utilizan nuestras soluciones son dinámicas y pueden cambiar en cualquier momento.

No hay ningún certificado raíz instalado

Cuando sus nodos se comunican con un Proxy explícito, debe instalar el certificado raíz e introducir una excepción para esa URL en su firewall.

Falla la comprobación de conectividad

Si se pasó la comprobación de Conectividad del proxy y se completó la instalación del proxy, las comprobaciones de conectividad en la página de Descripción general pueden seguir fallando por estas razones:

  • El proxy está inspeccionando el tráfico que no se dirige a webex.com.

  • El proxy está bloqueando dominios distintos a webex.com.

Detalles de autenticación incorrectos

En el caso de proxies que utilizan un mecanismo de autenticación, asegúrese de agregar los detalles de autenticación correctos en el nodo.

Congestión en el proxy

La congestión de su proxy puede causar retrasos y caídas con tráfico para la nube. Verifique su entorno de proxy para ver si se requiere el límite de tráfico.

Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de WebSocket (WSS:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.

Calamar 4 y 5

Agregue la Directiva on_unsupported_protocol a squid. conf: 

todos on_unsupported_protocol túnel

Squid 3.5.27

Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud. 

ACL wssMercuryConnection SSL:: server_name_regex Mercury-Connection ssl_bump splicee wssMercuryConnection ACL paso 1 at_step SslBump1 ACL paso 2 at_step SslBump2 ACL paso 3 at_step SslBump3 ssl_bump PEEK paso 1 todos los ssl_bump estrella paso 2 todos los ssl_bumps paso 3 todos