Découvrez comment configurer un proxy avec Cisco Webex sécurité des données hybrides et Webex maillage vidéo, y compris les exigences et étapes pour configurer les nœuds pour qu’ils fonctionnent avec un proxy d’inspection transparent ou un proxy explicite. Vous pouvez également trouver des informations de base sur le dépannage.
Cette section décrit la fonction de prise en charge du proxy pour la sécurité des données hybrides. Il est conçu pour compléter le Guide de déploiement de Cisco Webex sécurité des données hybrides, disponible à l’adresse https://www.cisco.com/go/hybrid-data-security. Dans un nouveau déploiement, vous configurez l’installation du proxy sur chaque nœud après avoir téléchargé et monté le fichier ISO de configuration HDS sur le nœud, et avant d’enregistrer le nœud avec le Cisco Webex Cloud.
La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.
Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :
-
Aucun proxy— la valeur par défaut si vous n’utilisez pas la configuration du proxy de la Banque d’approbation de l’installation du nœud HDS pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
-
Proxy sans inspection transparent— les nœuds ne sont pas configurés pour utiliser une adresse serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy qui ne s’inspecte pas. Aucune mise à jour du certificat n’est requise.
-
Tunneling transparent ou inspection du proxy— les nœuds ne sont pas configurés pour utiliser une adresse serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
-
Proxy explicite— avec proxy explicite, vous indiquez aux nœuds HDS les serveur proxy et le schéma d’authentification à utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
-
IP proxy/FDQN— adresse qui peut être utilisée pour contacter la machine proxy.
-
Port proxy— un numéro de port que le proxy utilise pour écouter le trafic proxy.
-
Protocole proxy— en fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
-
HTTP — affiche et contrôle toutes les demandes envoyées par le client.
-
HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
-
-
Type d’authentification— Choisissez parmi les types d’authentification suivants :
-
Aucun— aucune autre authentification n’est requise.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
-
Basique— utilisé pour un agent utilisateur http pour fournir un nom d’utilisateur et un mot de passe lors d’une demande. Utilise le codage Base64.
Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
Digest— utilisé pour confirmer le compte avant d’envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
-
-
Exemple de nœuds de sécurité des données hybrides et proxy
Mode de résolution DNS externe bloqué (configurations proxy explicites)
Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
-
Proxy transparent — Appliance Cisco Web Security (WSA).
-
Proxy explicite — squid.
Les proxys Squid qui inspectent le trafic HTTPs peuvent interférer avec l’établissement de WebSocket (WSS :) Connexions. Pour contourner ce problème, voir Configurer les proxys Squid pour la sécurité des données hybrides.
-
-
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
-
Aucune authentification avec HTTP ou HTTPs
-
Authentification de base avec HTTP ou HTTPs
-
Authentification Digest avec HTTPs uniquement
-
-
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
-
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
-
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.
Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour une présentation des options du proxy prises en charge.
1 |
Entrez l’URL de configuration du nœud HDS https://[HDS du nœud IP ou FDQN]/Setup dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion. |
2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite. |
3 |
Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
4 |
Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu’il s’agit d’une erreur, effectuez ces étapes, puis consultez Désactiver le mode de résolution DNS externe bloqué. |
5 |
Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes. |
7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Cette section décrit la fonction de prise en charge du proxy pour Webex maillage vidéo. Il est conçu pour compléter le Guide de déploiement de maillage vidéo Cisco Webex, disponible à l’adresse https://www.cisco.com/go/video-mesh. Dans un nouveau déploiement, vous configurez l’installation du proxy sur chaque nœud après avoir déployé le logiciel de maillage vidéo sur un environnement Machine virtuelle et avant d’enregistrer le nœud avec le Cisco Webex Cloud.
Maillage vidéo Cisco Webex prend en charge l’inspection explicite, transparente et les proxys qui ne sont pas inspectés. Vous pouvez lier ces proxies à votre Webex le déploiement du maillage vidéo pour vous permettre de sécuriser et de surveiller le trafic de l’entreprise vers le Cloud. Cette fonctionnalité envoie le trafic HTTPS de signalisation et de gestion vers le proxy. Pour les proxys transparents, les demandes réseau provenant des nœuds de maillage vidéo sont transmises à un proxy spécifique via les règles de routage du réseau d’entreprise. Vous pouvez utiliser l’interface d’administration du maillage vidéo Webex pour gestion des certificats et le statut de connectivité générale après avoir implémenté le proxy avec les nœuds.
Le média ne circule pas via le proxy. Vous devez toujours ouvrir les ports requis pour que les flux de médias soient accessibles directement sur le Cloud. |
Les types de proxy suivants sont pris en charge par le maillage vidéo :
-
Proxy explicite (inspection ou non-inspection) — avec proxy explicite, vous dites au client (nœuds de maillage vidéo) qui Serveur Proxy à utiliser. Cette option prend en charge l’un des types d’authentification suivants :
-
Aucun — aucune autre authentification n’est requise. (Pour le proxy explicite HTTP ou HTTPs.)
-
Basique — utilisé pour un agent utilisateur HTTP pour fournir un nom d’utilisateur et un mot de passe lorsqu’il fait une demande et utilise le codage Base64. (Pour le proxy explicite HTTP ou HTTPs.)
-
Digest — utilisé pour confirmer l’identité du compte avant d’envoyer des informations sensibles et applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant d’envoyer sur le réseau. (Pour le proxy explicite HTTPs.)
-
NTLM — comme Digest, NTLM est utilisé pour confirmer l’identité du compte avant d’envoyer des informations sensibles. Utilise les identifiants Windows au lieu du nom d’utilisateur et du mot de passe. Ce schéma d’authentification nécessite que plusieurs échanges soient terminés. (Pour le proxy HTTP explicite.)
-
-
Proxy transparent (ne pas inspecter) — les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse Serveur Proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy qui ne s’inspecte pas.
-
Proxy transparent (inspection) — les nœuds de maillage vidéo ne sont pas configurés pour utiliser une adresse Serveur Proxy spécifique. Aucune modification de la configuration http (s) n’est nécessaire sur le maillage vidéo, cependant, les nœuds de maillage vidéo ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer des politiques concernant les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même https).
-
Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de maillage vidéo Webex.
-
Appliance Cisco Web Security (WSA) pour proxy transparent
-
Squid pour Proxy explicite
-
-
Pour un proxy explicite ou un proxy d’inspection transparent qui inspecte (décrypte le trafic), vous devez avoir une copie de la certificat racine du proxy que vous devrez charger dans la Banque d’approbation du nœud de maillage vidéo Webex sur l’interface Web.
-
Nous prenons en charge les combinaisons de proxy explicite et de type d’authentification suivantes :
-
Aucune authentification avec http et https
-
Authentification de base avec http et https
-
Authentification Digest avec HTTPS uniquement
-
Authentification NTLM avec http uniquement
-
-
Pour les proxies transparents, vous devez utiliser le routeur/commutateur pour forcer le trafic HTTPs/443 à aller sur le proxy. Vous pouvez également forcer le Web Socket/444 à accéder au proxy. (Le socket Web utilise le protocole HTTPS.) Le port 444 dépend de la configuration de votre réseau. Si le port 444 n’est pas routé via le proxy, il doit être ouvert directement à partir du nœud vers le Cloud.
Webex maillage vidéo nécessite les connexions Web Sockets pour les services du Cloud, afin que les nœuds fonctionnent correctement. Sur l’inspection explicite et les proxys d’inspection transparente, les en-têtes HTTP qui sont nécessaires pour une connexion WebSocket appropriée sont altérées et les connexions WebSocket échouent.
Le symptôme lorsque ceci se produit sur le port 443 (avec le proxy d’inspection transparent activé) est une alerte de post-inscription dans Control Hub : « Webex l’appel SIP du maillage vidéo ne fonctionne pas correctement. » La même alarme peut se produire pour d’autres raisons lorsque le proxy n’est pas activé. Lorsque les en-têtes WebSocket sont bloqués sur le port 443, le média ne circule pas entre les applications et les clients SIP.
Si le média ne passe pas, ceci se produit souvent lorsque le trafic HTTPS du nœud sur le port 444 ou le port 443 échoue :
-
Le proxy n’inspecte pas, mais le trafic du port 444 n’est pas autorisé par le proxy.
-
Le trafic du port 443 ou du port 444 est autorisé par le proxy, mais il s’agit d’un proxy d’inspection et il rompt le WebSocket.
Pour corriger ces problèmes, vous devrez peut-être « sauter » ou « épissurer » (désactiver l’inspection) sur les ports 444 et 443 à : *. wbx2.com et *. ciscospark.com.
-
Utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à un Webex maillage vidéo. Si vous choisissez un proxy d’inspection transparent ou un proxy explicite, vous pouvez utiliser l’interface du nœud pour charger et installer le certificat racine, vérifier la connexion du proxy et résoudre les problèmes potentiels.
Avant de commencer
-
Voir Prise en charge du proxy pour Maillage vidéo Cisco Webex pour une présentation des options du proxy prises en charge.
-
Configuration minimale requise pour la prise en charge du proxy pour Webex maillage vidéo
1 |
Saisissez la Webex URL de configuration du maillage vidéo https://[IP ou FDQN/installation dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion. |
||||||||||||
2 |
Allez à Trust Store & proxy, puis choisissez une option :
Suivez les étapes suivantes pour une inspection transparente ou un proxy explicite. |
||||||||||||
3 |
Cliquez sur Télécharger un certificat racine ou un certificatd’entité finale, puis recherchez et choisissez le certificat racine pour le proxy d’inspection explicite ou transparent. Le certificat est chargé mais n’a pas encore été installé car le nœud doit être redémarré pour installer le certificat. Cliquez sur la flèche en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier. |
||||||||||||
4 |
Pour l’inspection transparente ou les proxys explicites, cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud de maillage vidéo et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. |
||||||||||||
5 |
Lorsque le test de connexion réussit, pour le proxy explicite, activez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet. |
||||||||||||
6 |
Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche chaque fois qu’un certificat racine a été ajouté pendant l’installation du proxy) ou Redémarrez (s’affiche si aucun certificat racine n’a été ajouté), lisez l’invite, puis cliquez sur installer si vous êtes prêt. Le nœud redémarre dans quelques minutes. |
||||||||||||
7 |
Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy. |
Ce que le trafic traverse via le proxy
Pour le maillage vidéo, le média ne traverse pas le proxy. Cette fonctionnalité envoie le trafic HTTPS de signalisation et de gestion vers le proxy. Vous devez toujours ouvrir les ports requis pour que les flux de médias soient accessibles directement sur le Cloud.
Le port TCP 444 n’est pas activé sur le proxy
Ce port est une exigence pour le maillage vidéo, car le maillage vidéo utilise ce port pour accéder aux services basés sur le Cloud qu’il doit utiliser pour fonctionner correctement. Une exception de proxy doit être effectuée pour ce port et tout comme indiqué dans le Guide de déploiement du maillage vidéo et les exigences réseau pour les services Webex teams.
Le filtrage du trafic de signalisation par adresse IP n’est pas pris en charge car les adresses IP utilisées par nos solutions sont dynamiques et peuvent changer à tout moment. |
Aucun certificat racine n’a été installé
Lorsque vos nœuds communiquent avec un proxy explicite, vous devez installer le certificat racine et saisir une exception pour cette URL sur votre pare-feu.
Échec de la vérification de la connectivité
Si la vérification de la connectivité du proxy a réussi et que l’installation du proxy est terminée, les vérifications de connectivité sur la page d’aperçu peuvent toujours échouer pour les raisons suivantes :
-
Le proxy inspecte le trafic qui ne passe pas à webex.com.
-
Le proxy bloque les domaines autres que webex.com.
Les détails d’authentification sont incorrects
Pour les proxys qui utilisent un mécanisme d’authentification, assurez-vous d’ajouter les détails d’authentification corrects dans le nœud.
Congestion sur le proxy
L’encombrement de votre proxy peut causer des retards et des chutes avec le trafic vers le Cloud. Vérifiez votre environnement proxy pour voir si la limitation du trafic est requise.
Les proxys Squid qui inspectent le trafic HTTPs peuvent interférer avec l’établissement de WebSocket (WSS :) les connexions requises par la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.
Squid 4 et 5
Ajoutez la directive on_unsupported_protocol à squid. conf:
on_unsupported_protocol tous les tunnels
Squid 3.5.27
Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.
ACL wssMercuryConnection SSL :: server_name_regex Mercury-connexion ssl_bump Splice wssMercuryConnection 1 à 1 at_step SslBump1 ACL étape 2 at_step SslBump2 ACL étape 3 at_step SslBump3 ssl_bump Peek étape1 toutes les ssl_bump en étoile étape 2 tous les ssl_bump relief étape 3 tous