Esta seção descreve o recurso de suporte de proxy para a segurança de dados híbridos. Ela se destina a complementar o Guia de implantação para a segurança de dados híbridos do Cisco Webex, disponível em https://www.cisco.com/go/hybrid-data-security. Em uma nova implantação, você configura a configuração do proxy em cada nó depois de carregar e montar o ISO de configuração do HDS no nó e antes de registrar o nó com o Cisco Webex Cloud.

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

  • Sem proxy-o padrão se você não usar a configuração do nó HDS do armazenamento de confiança & a configuração do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.

  • Proxy transparente não inspecionando— os nós não estão configurados para usar um endereço servidor proxy específico e não devem exigir nenhuma alteração para funcionar com um proxy não inspecionado. Não é necessária nenhuma atualização de certificado.

  • Encapsulamento transparente ou inspeção do proxy— os nós não estão configurados para usar um endereço servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).

  • Proxy explícito— com o proxy explícito, você informa os nós HDs que servidor proxy e o esquema de autenticação a usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:

    1. IP do proxy/FQDN— endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta proxy— um número de porta que o proxy usa para ouvir o tráfego de proxy.

    3. Protocolo proxy— dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:

      • HTTP — exibe e controla todas as solicitações que o cliente envia.

      • HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.

    4. Tipo de autenticação— escolha entre os seguintes tipos de autenticação:

      • Nenhum— nenhuma autenticação adicional é necessária.

        Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.

      • Básico— usado para um agente de usuário http fornecer um nome de usuário e uma senha ao fazer uma solicitação. Usa a codificação Base64.

        Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.

        Requer que você insira a nome de usuário e a senha em cada nó.

      • Digest— usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

        Disponível somente se você selecionar HTTPS como o protocolo de proxy.

        Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

  • Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.

    • Proxy transparente — Cisco Web Security Appliance (WSA).

    • Proxy explícito — squid.


      Os proxies Squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento do WebSocket (WSS:) Conexões. Para contornar esse problema, consulte Configurar proxies squid para segurança de dados híbridos.

  • Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:

    • Sem autenticação com HTTP ou HTTPS

    • Autenticação básica com HTTP ou HTTPS

    • Autenticação Digest com apenas HTTPS

  • Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.

  • A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.

  • Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de Iniciar

1

Insira o URL de configuração do nó HDS https/[Internet node IP ou FQDN]/Setup em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.

2

Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:

  • Sem proxy-a opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado.
  • Proxy transparente não inspecionando— os nós não estão configurados para usar um endereço servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
  • Proxy de inspeção transparente— os nós não estão configurados para usar um endereço servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
  • Proxy explícito— com o proxy explícito, você informa ao cliente (nós HDS) que servidor proxy usar, e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações:
    1. IP do proxy/FQDN— endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta proxy— um número de porta que o proxy usa para ouvir o tráfego de proxy.

    3. Protocolo proxy— escolha http (exibições e controles todas as solicitações que são recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta.

    4. Tipo de autenticação— escolha entre os seguintes tipos de autenticação:

      • Nenhum— nenhuma autenticação adicional é necessária.

        Disponível para proxies HTTP ou HTTPS.

      • Básico— usado para um agente de usuário http fornecer um nome de usuário e uma senha ao fazer uma solicitação. Usa a codificação Base64.

        Disponível para proxies HTTP ou HTTPS.

        Se você escolher esta opção, você também deve inserir a nome de usuário e a senha.

      • Digest— usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

        Disponível apenas para proxies HTTPS.

        Se você escolher esta opção, você também deve inserir a nome de usuário e a senha.

Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.

3

Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy.

O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.

4

Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy.

Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema.

Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estes passos e, em seguida, consulte Desligar o modo de resolução DNS externo bloqueado.

5

Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.

6

Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto.

O nó reinicia dentro de alguns minutos.

7

Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde.

A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Esta seção descreve o recurso de suporte de proxy para Webex malha de vídeo. Ela se destina a complementar o Guia de implantação do malha de vídeo Cisco Webex, disponível em https://www.cisco.com/go/video-mesh. Em uma nova implantação, você configura a configuração do proxy em cada nó depois de implantar o software da malha de vídeo em um ambiente de máquina virtual, e antes de registrar o nó com o Cisco Webex Cloud.

Malha de vídeo Cisco Webex oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua Webex implantação da malha de vídeo para que você possa proteger e monitorar o tráfego da empresa para a nuvem. Este recurso envia a sinalização e o tráfego baseado em https de gerenciamento para o proxy. Para proxies transparentes, as solicitações de rede de nós da malha de vídeo são encaminhados para um proxy específico através das regras de roteamento da rede corporativa. Você pode usar a interface de administração de malha de vídeo Webex para gerenciamento de certificados e o status de conectividade geral depois de implementar o proxy com os nós.


A mídia não viaja através do proxy. Você ainda deve abrir as portas necessárias para que os streamings de mídia atinjam diretamente a nuvem.

Os seguintes tipos de proxy são suportados pela malha de vídeo:

  • Proxy explícito (inspecionando ou não inspecionando) — com proxy explícito, você informa ao cliente (nós de malha de vídeo) que servidor proxy usar. Esta opção suporta um dos seguintes tipos de autenticação:

    • Nenhum — nenhuma autenticação adicional é necessária. (Para proxy explícito HTTP ou HTTPS.)

    • Básico — usado para um agente de usuário HTTP para fornecer um nome e senha ao fazer uma solicitação e usa a codificação Base64. (Para proxy explícito HTTP ou HTTPS.)

    • Digest — usado para confirmar a identidade da conta antes de enviar informações confidenciais e aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. (Para proxy explícito HTTPS.)

    • NTLM — como o Digest, o NTLM é usado para confirmar a identidade da conta antes de enviar informações confidenciais. Usa as credenciais do Windows em vez do nome de usuário e senha. Este esquema de autenticação exige que várias trocas sejam concluídas. (Para proxy explícito HTTP.)

  • Proxy transparente (não inspecionando) — os nós de malha de vídeo não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy não inspecionado.

  • Proxy transparente (inspeção) — os nós da malha de vídeo não estão configurados para usar um endereço servidor proxy específico. Nenhuma alteração de configuração http (s) é necessária na malha de vídeo, no entanto, os nós de malha de vídeo precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas relativas a quais sites podem ser visitados e tipos de conteúdo que não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).

Figura 1. Exemplo de Webex de nós de malha de vídeo e proxy.

Este diagrama mostra uma conexão de exemplo entre a malha de vídeo Webex, a rede e um proxy. Para a inspeção transparente e as opções de proxy de inspeção explícita, o mesmo certificado raiz deve ser instalado no proxy e nos nós de malha de vídeo.

  • Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com seus Webex nós de malha de vídeo.

    • Cisco Web Security Appliance (WSA) para proxy transparente

    • Squid para proxy explícito

  • Para um proxy explícito ou transformando um proxy transparente que inspeciona (descriptografa o tráfego), você deve ter uma cópia do certificado raiz do proxy que você precisará carregar no armazenamento de confiança do nó da malha de vídeo Webex na interface da Web.

  • Oferecemos suporte às seguintes combinações de proxy explícito e tipo de autenticação:

    • Nenhuma autenticação com http e https

    • Autenticação básica com http e https

    • Autenticação Digest com apenas https

    • Autenticação NTLM apenas com http

  • Para proxies transparentes, você deve usar o roteador/switch para forçar o tráfego HTTPS/443 para ir para o proxy. Você também pode forçar o Web Socket/444 para ir para o proxy. (O soquete da Web usa HTTPS.) A porta 444 depende da configuração da sua rede. Se a porta 444 não for roteada através do proxy, ela deve ser aberta diretamente do nó para a nuvem.


    Webex malha de vídeo requer conexões de soquete da Web para serviços em nuvem, para que os nós funcionem corretamente. Nos proxies explícitos de inspeção e transparente, os cabeçalhos HTTP necessários para uma conexão WebSocket adequada são alterados e as conexões WebSocket falham.

    O sintoma quando isso ocorre na porta 443 (com o proxy de inspeção transparente habilitado) é um aviso pós-registro no Control Hub: "Webex chamada SIP de malha de vídeo não está funcionando corretamente." O mesmo alarme pode ocorrer por outros motivos quando o proxy não está habilitado. Quando os cabeçalhos do WebSocket estão bloqueados na porta 443, a mídia não flui entre aplicativos e clientes SIP.

    Se a mídia não estiver fluindo, isso geralmente ocorre quando o tráfego HTTPS do nó sobre a porta 444 ou a porta 443 está falhando:

    • O proxy não está inspecionando, mas o tráfego da porta 444 não é permitido pelo proxy.

    • A porta 443 ou o tráfego da porta 444 é permitido pelo proxy, mas é um proxy de inspeção e está rompendo o WebSocket.

    Para corrigir esses problemas, você pode ter que "ignorar" ou "Splice" (desativar a inspeção) nas portas 444 e 443 para: *. wbx2.com e *. ciscospark.com.

Use este procedimento para especificar o tipo de proxy que você deseja integrar com uma malha de vídeo Webex. Se você escolher um proxy de inspeção transparente ou um proxy explícito, você pode usar a interface do nó para carregar e instalar o certificado raiz, verificar a conexão de proxy e solucionar quaisquer problemas potenciais.

Antes de Iniciar

1

Insira a URL de configuração da malha de vídeo Webex https/[IP ou FQDN/configuração em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.

2

Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:

  • Sem proxy-a opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado.
  • Proxy transparente não inspecionando— os nós da malha de vídeo não estão configurados para usar um endereço servidor proxy específico e não devem exigir alterações para trabalhar com um proxy sem inspeção. Não é necessária nenhuma atualização de certificado.
  • Proxy de inspeção transparente— os nós da malha de vídeo não estão configurados para usar um endereço servidor proxy específico. Nenhuma alteração de configuração http (s) é necessária na malha de vídeo; no entanto, os nós da malha de vídeo precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas relativas a quais sites podem ser visitados e tipos de conteúdo que não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
  • Proxy explícito— com o proxy explícito, você informa ao cliente (nós de malha de vídeo) que servidor proxy usar, e essa opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações:
    1. IP do proxy/FQDN— endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta proxy— um número de porta que o proxy usa para ouvir o tráfego de proxy.

    3. Protocolo proxy— escolha http (a malha de vídeo encapsula o tráfego HTTPS através do proxy http) ou https (o tráfego do nó da malha de vídeo para o proxy usa o protocolo HTTPS). Escolha uma opção baseada no que seu servidor proxy suporta.

    4. Escolha entre os seguintes tipos de autenticação, dependendo do seu ambiente proxy:

      Opção

      Uso

      Nenhum(a)

      Escolha para proxies explícitos HTTP ou HTTPS onde não há método de autenticação.

      Básico

      Disponível para proxies explícitos HTTP ou HTTPS.

      Usado para um agente de usuário HTTP para fornecer um nome e senha ao fazer uma solicitação e usa a codificação Base64.

      Digerir

      Disponível apenas para proxies explícitos HTTPS.

      Usado para confirmar a conta antes de enviar informações confidenciais e aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

      Ntlm

      Disponível apenas para proxies HTTP explícitos.

      Como Digest, usado para confirmar a conta antes de enviar informações confidenciais. Usa as credenciais do Windows em vez do nome de usuário e senha.

      Se você escolher esta opção, insira o domínio Active Directory que o proxy usa para autenticação no campo domínio NTLM . Insira o nome da estação de trabalho proxy (também referida como uma conta de estação de trabalho ou de máquina) dentro do domínio NTLM especificado no campo estação de trabalho NTLM .

Siga os próximos passos para uma inspeção transparente ou um proxy explícito.

3

Clique em carregar um certificado raiz ou certificado de entidade final, e então localize e escolha a certificado raiz para o proxy de inspeção explícita ou transparente.

O certificado foi carregado, mas ainda não está instalado porque o nó precisa ser reinicializado para instalar o certificado. Clique na seta do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.

4

Para intermarcações transparentes ou proxies explícitos, clique em verificar conexão proxy para testar a conectividade de rede entre o nó de malha de vídeo e o proxy.

Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema.

5

Após o teste de conexão passar, para o proxy explícito, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.

6

Clique em instalar todos os certificados no armazenamento de confiança (aparece sempre que um certificado raiz foi adicionado durante a configuração do proxy) ou reinicialize (aparece se nenhum certificado raiz foi adicionado), leia o aviso e clique em instalar se você estiver pronto.

O nó reinicia dentro de alguns minutos.

7

Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde.

A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Que tráfego passa pelo proxy

Para a malha de vídeo, a mídia não atravessa o proxy. Este recurso envia a sinalização e o tráfego baseado em https de gerenciamento para o proxy. Você ainda deve abrir as portas necessárias para que os streamings de mídia atinjam diretamente a nuvem.

A porta TCP 444 não está habilitada no proxy

Esta porta é um requisito para a malha de vídeo, porque a malha de vídeo usa essa porta para acessar os serviços baseados em nuvem que ele deve usar para funcionar corretamente. Uma exceção de proxy deve ser feita para esta porta e qualquer como documentada no Guia de implantação da malha de vídeo e os requisitos de rede para serviços de Webex Teams.


A filtragem do tráfego de sinalização por endereço de IP não é compatível, pois os endereços IP usados pelas nossas soluções são dinâmicos e podem mudar a qualquer momento.

Nenhum certificado raiz instalado

Quando seus nós estão falando com um proxy explícito, você deve instalar o certificado raiz e inserir uma exceção para essa URL no seu firewall.

Falha na verificação de conectividade

Se a verificação de conectividade do proxy tiver passado e a instalação do proxy tiver sido concluída, as verificações de conectividade na página Visão geral ainda poderão falhar pelos seguintes motivos:

  • O proxy está inspecionando o tráfego que não vai para o webex.com.

  • O proxy está bloqueando domínios diferentes de webex.com.

Os detalhes de autenticação estão incorretos

Para proxies que usam um mecanismo de autenticação, certifique-se de adicionar os detalhes corretos de autenticação no nó.

Congestionamento no proxy

O congestionamento no seu proxy pode causar atraso e cair com o tráfego para a nuvem. Verifique seu ambiente proxy para ver se a limitação de tráfego é necessária.

Os proxies Squid que inspecionam o tráfego HTTPS podem interferir com o estabelecimento do WebSocket (WSS:) conexões que a segurança de dados híbridos requer. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a diretiva on_unsupported_protocol a squid. conf:

on_unsupported_protocol encapsular tudo

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

ACL wssMercuryConnection SSL:: server_name_regex mercúrio-conexão ssl_bump Splice wssMercuryConnection ACL passo 1 at_step SslBump1 ACL passo 2 at_step SslBump2 ACL passo 3 at_step SslBump3 ssl_bump Peek passo 1 todos os ssl_bump Starem passo 2 todos ssl_bump tapa passo 3 todos