In questa sezione viene descritta la funzione di supporto proxy per la sicurezza dei dati ibridi. Questa opzione è destinata a completare la Guida alla distribuzione per la sicurezza dei dati ibridi Cisco Webex, disponibile all'indirizzo https://www.cisco.com/go/hybrid-data-security. In una nuova installazione, configurare l'impostazione del proxy su ciascun nodo dopo aver caricato e montato il file ISO di configurazione HDS sul nodo e prima di registrare il nodo con il cloud Cisco Webex.

La sicurezza dei dati ibridi supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla distribuzione in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. È possibile utilizzare un'interfaccia di amministrazione della piattaforma sui nodi per gestione certificati e verificare lo stato generale della connettività dopo aver impostato il proxy sui nodi.

I nodi di sicurezza dei dati ibridi supportano le seguenti opzioni di proxy:

  • Nessun proxy: predefinito se non si utilizza l'impostazione del nodo HDS e la configurazione proxy per l'integrazione di un proxy. Nessun aggiornamento certificato richiesto.

  • Proxy non di verifica trasparente-i nodi non sono configurati per l'uso di un indirizzo di server proxy specifico e non richiedono alcuna modifica per il funzionamento con un proxy non di ispezione. Nessun aggiornamento certificato richiesto.

  • Tunneling o proxy di ispezione trasparenti– i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Non sono necessarie modifiche di configurazione HTTP o HTTPS sui nodi. Tuttavia, i nodi necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

  • Proxy esplicito:il proxy esplicito consente di indicare ai nodi HDS quali server proxy e lo schema di autenticazione da utilizzare. Per configurare un proxy esplicito, è necessario immettere le seguenti informazioni su ciascun nodo:

    1. IP proxy/nome di dominio completo:indirizzo che può essere utilizzato per raggiungere la macchina proxy.

    2. Porta proxy: numero di porta utilizzato dal proxy per l'ascolto del traffico proxy.

    3. Protocollo proxy: a seconda di quali supporti server proxy, scegliere tra i seguenti protocolli.

      • HTTP — Visualizza e controlla tutte le richieste che il client invia.

      • HTTPS — fornisce un canale al server. Il client riceve e convalida il certificato del server.

    4. Tipodi autenticazione: consente di scegliere tra i seguenti tipi di autenticazione.

      • None— non è richiesta alcuna ulteriore autenticazione.

        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

      • Base— utilizzato per un agente utente http per fornire una nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

        Disponibile se si seleziona HTTP o HTTPS come protocollo proxy.

        Richiede l'inserimento del nome utente e della password su ciascun nodo.

      • Digest— utilizzato per confermare l'account prima di inviare informazioni riservate. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

        Disponibile solo se si seleziona HTTPS come protocollo proxy.

        Richiede l'inserimento del nome utente e della password su ciascun nodo.

Esempio di nodi e proxy di sicurezza dei dati ibridi

Questo diagramma mostra un esempio di connessione tra la sicurezza dei dati ibridi, la rete e un proxy. Per le opzioni di ispezione trasparenti e proxy esplicito di verifica HTTPS, è necessario installare lo stesso certificato radice sul proxy e sui nodi di sicurezza dei dati ibridi.

Modalità di risoluzione DNS esterna bloccata (configurazioni proxy esplicite)

Quando si registra un nodo o si controlla la configurazione del proxy del nodo, il processo verifica lo sguardo e la connettività DNS con il cloud Cisco Webex. Nelle distribuzioni con configurazioni proxy esplicite che non consentono la risoluzione DNS esterna per i client interni, se il nodo non riesce a eseguire query sui server DNS, passa automaticamente alla modalità di risoluzione DNS esterna bloccata. In questa modalità, è possibile procedere all'iscrizione dei nodi e ad altri test di connettività proxy.

  • Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i nodi di sicurezza dei dati ibridi.

  • Sono supportate le seguenti combinazioni di tipi di autenticazione per proxy espliciti:

    • Nessuna autenticazione con HTTP o HTTPS

    • Autenticazione di base con HTTP o HTTPS

    • Autenticazione digest solo con HTTPS

  • Per un proxy di ispezione trasparente o un proxy esplicito HTTPS, è necessario disporre di una copia del certificato radice del proxy. Le istruzioni per la distribuzione in questa guida consentono di caricare la copia negli archivi attendibili dei nodi di sicurezza dei dati ibridi.

  • La rete che ospita i nodi HDS deve essere configurata per forzare il traffico TCP in uscita sulla porta 443 per instradare il proxy.

  • I proxy che controllano il traffico Web possono interferire con le connessioni socket Web. Se si verifica questo problema, ignorare il traffico (non ispezionare) a wbx2.com e ciscospark.com risolverà il problema.

Se l'ambiente di rete richiede un proxy, utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con la sicurezza dei dati ibridi. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito HTTPS, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice. È anche possibile verificare la connessione proxy dall'interfaccia e risolvere eventuali problemi.

Prima di iniziare

1

Inserire l'URL di installazione del nodo HDS https://[IP node HDS o nome di dominio completo]/Setup in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

2

Andare a attendibilità archivio e proxy, quindi scegliere un'opzione:

  • Nessun proxy— opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto.
  • Proxy non ispezionante trasparente-i nodi non sono configurati per l'uso di un indirizzo server proxy specifico e non richiedono alcuna modifica per il funzionamento con un proxy non di verifica. Nessun aggiornamento certificato richiesto.
  • Proxy di ispezione trasparente-i nodi non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione HTTPS è necessaria per la distribuzione della sicurezza dei dati ibridi, tuttavia, i nodi HDS necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri su quali siti Web possono essere visitati e quali tipi di contenuto non sono consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
  • Proxy esplicito: il proxy esplicitoconsente di indicare al client (nodi HDS) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni:
    1. IP proxy/nome di dominio completo:indirizzo che può essere utilizzato per raggiungere la macchina proxy.

    2. Porta proxy: numero di porta utilizzato dal proxy per l'ascolto del traffico proxy.

    3. Protocollo proxy— scegliere http (Visualizza e controlla tutte le richieste ricevute dal client) o https (fornisce un canale al server e il client riceve e convalida il certificato del server). Scegliere un'opzione in base ai supporti server proxy.

    4. Tipodi autenticazione: consente di scegliere tra i seguenti tipi di autenticazione.

      • None— non è richiesta alcuna ulteriore autenticazione.

        Disponibile per proxy HTTP o HTTPS.

      • Base— utilizzato per un agente utente http per fornire una nome utente e una password quando si effettua una richiesta. Utilizza la codifica Base64.

        Disponibile per proxy HTTP o HTTPS.

        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

      • Digest— utilizzato per confermare l'account prima di inviare informazioni riservate. Applica una funzione hash sul nome utente e sulla password prima di inviarlo attraverso la rete.

        Disponibile solo per i proxy HTTPS.

        Se si sceglie questa opzione, è necessario inserire anche nome utente e password.

Seguire le operazioni successive per un proxy di ispezione trasparente, un proxy esplicito HTTP con autenticazione di base o un proxy esplicito HTTPS.

3

Fare clic su carica un certificato radice o un certificato di entità finale, quindi passare a una scelta del certificato radice per il proxy.

Il certificato viene caricato ma non ancora installato poiché è necessario riavviare il nodo per installare il certificato. Fare clic sulla freccia Chevron in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.

4

Fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo e il proxy.

Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema.

Se viene visualizzato un messaggio che indica che la risoluzione DNS esterna non è riuscita, il nodo non è riuscito a raggiungere il server DNS. Questa condizione è prevista in molte configurazioni proxy esplicite. È possibile continuare con l'installazione e il nodo funzionerà in modalità di risoluzione DNS esterna bloccata. Se si ritiene che si sia verificato un errore, effettuare le seguenti operazioni e vedere Disattiva modalità di risoluzione DNS esterna bloccata.

5

Una volta superato il test di connessione, per il proxy esplicito impostato su HTTPS, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

6

Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato per un proxy esplicito HTTPS o un proxy di verifica trasparente) o reboot (viene visualizzato per un proxy esplicito http), leggere il prompt, quindi fare clic su Installa, se si è pronti.

Il nodo si riavvia tra pochi minuti.

7

Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde.

Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

In questa sezione viene descritta la funzione di supporto proxy per Webex mesh video. Questa opzione è destinata a completare la Guida alla distribuzione per mesh video Cisco Webex, disponibile all'indirizzo https://www.cisco.com/go/video-mesh. In una nuova installazione, configurare l'impostazione del proxy su ciascun nodo dopo aver distribuito il software mesh video su un ambiente macchina virtuale e prima di registrare il nodo con il cloud Cisco Webex.

Mesh video Cisco Webex supporta proxy di ispezione e di verifica espliciti e trasparenti. È possibile legare questi proxy alla Webex distribuzione mesh video in modo da poter proteggere e monitorare il traffico da Enterprise su cloud. Questa funzione invia segnali e traffico basato su HTTPS di gestione al proxy. Per i proxy trasparenti, le richieste di rete dai nodi mesh video vengono inoltrate a un proxy specifico attraverso le regole di routing della rete aziendale. È possibile utilizzare l'Webex interfaccia di amministrazione mesh video per gestione certificati e lo stato generale della connettività dopo aver implementato il proxy con i nodi.


Il contenuto multimediale non viaggia attraverso il proxy. È necessario ancora aprire le porte richieste per i flussi multimediali per raggiungere direttamente il cloud.

I seguenti tipi di proxy sono supportati dalla mesh video:

  • Proxy esplicito (ispezionando o non ispezionato) — con proxy esplicito, indicare al client (i nodi mesh video) che server proxy da utilizzare. Questa opzione supporta uno dei seguenti tipi di autenticazione:

    • None — non è richiesta alcuna ulteriore autenticazione. (Per proxy esplicito HTTP o HTTPS.)

    • Base — utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta e utilizza la codifica Base64. (Per proxy esplicito HTTP o HTTPS.)

    • Digest — utilizzato per confermare l'identità dell'account prima di inviare informazioni riservate e applica una funzione hash sul nome utente e la password prima di inviarlo attraverso la rete. (Per proxy esplicito HTTPS.)

    • NTLM — come il digest, NTLM viene utilizzato per confermare l'identità dell'account prima di inviare informazioni riservate. Utilizza le credenziali di Windows anziché il nome utente e la password. Questo schema di autenticazione richiede più scambi da completare. (Per proxy esplicito HTTP.)

  • Proxy trasparente (non ispezionabile)-i nodi mesh video non sono configurati per l'uso di un indirizzo server proxy specifico e non richiedono alcuna modifica per il funzionamento con un proxy non di verifica.

  • Proxy trasparente (ispezione) — i nodi mesh video non sono configurati per utilizzare un indirizzo server proxy specifico. Nessuna modifica di configurazione http (s) necessaria sulla mesh video, tuttavia, i nodi mesh video necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri relativi ai siti Web che possono essere visitati e ai tipi di contenuto non consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).

Figura 1. Esempio di Webex nodi e proxy mesh video.

Questo diagramma mostra un esempio di connessione tra la mesh video Webex, la rete e un proxy. Per le opzioni di ispezione trasparenti e di controllo esplicito del proxy, è necessario installare lo stesso certificato radice sul proxy e sui nodi mesh video.

  • Supportiamo ufficialmente le seguenti soluzioni proxy che possono integrarsi con i Webex nodi mesh video.

    • Cisco Web Security Appliance (WSA) per proxy trasparente

    • Calamaro per proxy esplicito

  • Per un proxy esplicito o un proxy di verifica trasparente che ispeziona (decrittografa il traffico), è necessario disporre di una copia del certificato radice del proxy che dovrà essere caricata nell'Webex archivio di attendibilità dei nodi mesh video nell'interfaccia Web.

  • Supportiamo le seguenti combinazioni di proxy e tipo di autenticazione esplicite:

    • Nessuna autenticazione con http e HTTPS

    • Autenticazione di base con http e HTTPS

    • Autenticazione digest solo con https

    • Autenticazione NTLM solo con http

  • Per i proxy trasparenti, è necessario utilizzare il router/switch per forzare il traffico HTTPS/443 per passare al proxy. È possibile anche forzare Web socket/444 per passare al proxy. (Socket Web utilizza HTTPS.) La porta 444 dipende dalla configurazione di rete. Se la porta 444 non viene instradata attraverso il proxy, deve essere aperta direttamente dal nodo al cloud.


    Webex mesh video richiede connessioni socket Web per i servizi cloud, in modo che i nodi funzionino correttamente. In caso di ispezioni esplicite e di ispezioni trasparenti dei proxy, le intestazioni HTTP richieste per una connessione WebSocket corretta vengono modificate e le connessioni WebSocket non riescono.

    Il sintomo quando ciò si verifica sulla porta 443 (con proxy di ispezione trasparente abilitato) è un avviso di post-iscrizione in Control Hub: "Webex chiamata SIP mesh video non funziona correttamente." Lo stesso allarme può verificarsi per altri motivi quando il proxy non è abilitato. Quando le intestazioni WebSocket sono bloccate sulla porta 443, il contenuto multimediale non passa tra le app e i client SIP.

    Se il contenuto multimediale non scorre, questo problema si verifica spesso quando il traffico HTTPS dal nodo sulla porta 444 o dalla porta 443 non riesce:

    • Il proxy non viene ispezionato, ma il traffico della porta 444 non è consentito dal proxy.

    • Il traffico 443 o Port 444 è consentito dal proxy, ma è un proxy di verifica e sta rompendo il WebSocket.

    Per risolvere questi problemi, è possibile che sia necessario "ignorare" o "Splice" (Disabilita ispezione) sulle porte 444 e 443 per: *. wbx2.com e *. ciscospark.com.

Utilizzare questa procedura per specificare il tipo di proxy che si desidera integrare con una mesh video Webex. Se si sceglie un proxy di ispezione trasparente o un proxy esplicito, è possibile utilizzare l'interfaccia del nodo per caricare e installare la certificato radice, controllare la connessione proxy e risolvere eventuali problemi.

Prima di iniziare

1

Inserire l'URL di impostazione mesh video Webex https://[IP o nome di dominio completo/Setup in un browser Web, inserire le credenziali di amministrazione impostate per il nodo, quindi fare clic su Accedi.

2

Andare a attendibilità archivio e proxy, quindi scegliere un'opzione:

  • Nessun proxy— opzione predefinita prima di integrare un proxy. Nessun aggiornamento certificato richiesto.
  • Proxy non ispezionante trasparente-i nodi mesh video non sono configurati per l'uso di un indirizzo server proxy specifico e non richiedono alcuna modifica per il funzionamento con un proxy non ispezionato. Nessun aggiornamento certificato richiesto.
  • Proxy di ispezione trasparente-i nodi mesh video non sono configurati per l'uso di un indirizzo server proxy specifico. Nessuna modifica di configurazione http (s) necessaria sulla mesh video; Tuttavia, i nodi mesh video necessitano di un certificato radice in modo che si fidino del proxy. I proxy di ispezione vengono solitamente utilizzati per applicare i criteri relativi ai siti Web che possono essere visitati e ai tipi di contenuto non consentiti. Questo tipo di proxy decrittografa tutto il traffico (anche HTTPS).
  • Proxy esplicito— con proxy esplicito, indicare al client (nodi mesh video) quale server proxy utilizzare e questa opzione supporta diversi tipi di autenticazione. Dopo aver scelto questa opzione, è necessario inserire le seguenti informazioni:
    1. IP proxy/nome di dominio completo:indirizzo che può essere utilizzato per raggiungere la macchina proxy.

    2. Porta proxy: numero di porta utilizzato dal proxy per l'ascolto del traffico proxy.

    3. Protocollo proxy— scegliere http (mesh video scorre il traffico HTTPS attraverso il proxy http) o https (il traffico dal nodo mesh video al proxy utilizza il protocollo HTTPS). Scegliere un'opzione in base ai supporti server proxy.

    4. Scegliere tra i seguenti tipi di autenticazione, a seconda dell'ambiente proxy:

      Opzione

      Utilizzo

      Nessuno

      Scegliere per proxy espliciti HTTP o HTTPS in cui non esiste un metodo di autenticazione.

      Base

      Disponibile per proxy espliciti HTTP o HTTPS.

      Utilizzato per un agente utente HTTP per fornire un nome utente e una password quando si effettua una richiesta e utilizza la codifica Base64.

      Digerire

      Disponibile solo per proxy espliciti HTTPS.

      Utilizzato per confermare l'account prima di inviare informazioni riservate e applica una funzione hash sul nome utente e la password prima di inviarlo attraverso la rete.

      Ntlm

      Disponibile solo per i proxy espliciti HTTP.

      Come digest, utilizzato per confermare l'account prima di inviare informazioni riservate. Utilizza le credenziali di Windows anziché il nome utente e la password.

      Se si sceglie questa opzione, inserire il dominio Active Directory che il proxy utilizza per l'autenticazione nel campo del dominio NTLM . Inserire il nome della workstation proxy (anche denominata account workstation o account computer) all'interno del dominio NTLM specificato nel campo workstation NTLM .

Seguire le operazioni successive per un proxy di ispezione o esplicito trasparente.

3

Fare clic su carica un certificato radice o un certificato di entità finale, quindi individuare e scegliere la certificato radice per il proxy di ispezione esplicito o trasparente.

Il certificato viene caricato ma non ancora installato poiché il nodo deve essere riavviato per installare il certificato. Fare clic sulla freccia in base al nome dell'autorità emittente del certificato per ottenere ulteriori dettagli o fare clic su Elimina se si è verificato un errore e si desidera ricaricare il file.

4

Per i proxy di ispezione o espliciti trasparenti, fare clic su Controlla connessione proxy per verificare la connettività di rete tra il nodo mesh video e il proxy.

Se il test di connessione non riesce, viene visualizzato un messaggio di errore che mostra il motivo e come è possibile risolvere il problema.

5

Una volta superato il test di connessione, per il proxy esplicito, attivare l'opzione attiva per instradare tutte le richieste HTTPS della porta 443/444 da questo nodo attraverso il proxy esplicito. Questa impostazione richiede 15 secondi per avere effetto.

6

Fare clic su installa tutti i certificati nell'archivio di attendibilità (viene visualizzato ogni volta che è stato aggiunto un certificato radice durante l'impostazione del proxy) o reboot (viene visualizzato se non è stato aggiunto alcun certificato radice), leggere il prompt, quindi fare clic su Installa, se si è pronti.

Il nodo si riavvia tra pochi minuti.

7

Dopo il riavvio del nodo, eseguire nuovamente l'accesso, se necessario, e aprire la pagina Panoramica per controllare i controlli di connettività per accertarsi che siano tutti in stato di verde.

Il controllo della connessione proxy verifica solo un sottodominio di webex.com. In caso di problemi di connettività, un problema comune è che alcuni domini cloud elencati nelle istruzioni di installazione vengono bloccati sul proxy.

Il traffico passa attraverso il proxy

Per la mesh video, il contenuto multimediale non attraversa il proxy. Questa funzione invia segnali e traffico basato su HTTPS di gestione al proxy. È necessario ancora aprire le porte richieste per i flussi multimediali per raggiungere direttamente il cloud.

Porta TCP 444 non abilitata su proxy

Questa porta è un requisito per la mesh video poiché la mesh video utilizza questa porta per accedere ai servizi basati su cloud che devono essere utilizzati per funzionare correttamente. È necessario effettuare un'eccezione proxy per questa porta e qualsiasi altro come documentato nella Guida alla distribuzione mesh video e i requisiti di rete per i servizi di Webex teams.


Il filtraggio del traffico di segnale per indirizzo IP non è supportato poiché gli indirizzi IP utilizzati dalle nostre soluzioni sono dinamici e possono cambiare in qualsiasi momento.

Nessun certificato radice installato

Quando i nodi parlano con un proxy esplicito, è necessario installare il certificato radice e inserire un'eccezione per tale URL sul firewall.

Controllo connettività non riuscito

Se il controllo della connettività proxy è passato e l'installazione del proxy è stata completata, i controlli di connettività nella pagina Panoramica potrebbero non riuscire per questi motivi:

  • Il proxy sta controllando il traffico che non passa a webex.com.

  • Il proxy blocca i domini diversi da webex.com.

Dettagli di autenticazione non corretti

Per i proxy che utilizzano un meccanismo di autenticazione, accertarsi di aggiungere i dettagli di autenticazione corretti nel nodo.

Congestione sul proxy

La congestione del proxy può provocare ritardi e cadute di traffico sul cloud. Controllare l'ambiente di proxy per vedere se è richiesta la limitazione del traffico.

I proxy di Squid che controllano il traffico HTTPS possono interferire con l'istituzione di WebSocket (WSS:) connessioni necessarie per la sicurezza dei dati ibridi. Queste sezioni forniscono indicazioni su come configurare diverse versioni di Squid per ignorare WSS: traffico per il corretto funzionamento dei servizi.

Calamari 4 e 5

Aggiungere la direttiva on_unsupported_protocol a squid. conf:

on_unsupported_protocol tunnel tutto

3.5.27 di calamari

La sicurezza dei dati ibridi è stata collaudata con le seguenti regole aggiunte a squid. conf. Queste regole sono suscettibili di modifica durante lo sviluppo delle funzioni e l'aggiornamento del Webex cloud.

ACL wssMercuryConnection SSL:: server_name_regex connessione Mercury-ssl_bump Splice wssMercuryConnection ACL passo 1 at_step SslBump1 ACL passo 2 at_step SslBump2 ACL 3 at_step SslBump3 ssl_bump Peek passo 1 tutti ssl_bump stare passo 2 tutto ssl_bump bump tutto