Esta seção descreve o recurso de suporte de proxy para a segurança de dados híbridos. Ela se destina a complementar o Guia de implantação para a segurança de dados híbridos do Cisco WebEx, disponível em https://www.cisco.com/go/hybrid-data-security. Em uma nova implantação, você configura a configuração do proxy em cada nó depois de carregar e montar o ISO de configuração do HDS no nó e antes de registrar o nó com o Cisco Webex Cloud.

A segurança de dados híbridos oferece suporte a proxies explícitos, de inspeção transparente e sem inspeção. Você pode vincular esses proxies à sua implantação, de modo que você possa proteger e monitorar o tráfego da empresa para a nuvem. Você pode usar uma interface de administração de plataforma nos nós para gerenciamento de certificados e para verificar o status de conectividade geral depois de configurar o proxy nos nós.

Os nós de segurança de dados híbridos suportam as seguintes opções de proxy:

  • Nenhum proxy —O padrão se você não usar a configuração do nó HDS Configuração do Trust Store e do proxy para integrar um proxy. Não é necessária nenhuma atualização de certificado.

  • Proxy não inspecional transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy não inspecional. Não é necessária nenhuma atualização de certificado.

  • tunelamento transparente ou inspeção de proxy —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTP ou HTTPS é necessária nos nós. No entanto, os nós precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).

  • Proxy explícito —Com proxy explícito, você informa aos nós HDS qual servidor proxy e esquema de autenticação usar. Para configurar um proxy explícito, você deve inserir as seguintes informações em cada nó:

    1. IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.

    3. Proxy Protocol —Dependendo do que seu servidor proxy suporta, escolha entre os seguintes protocolos:

      • HTTP — exibe e controla todas as solicitações que o cliente envia.

      • HTTPS — fornece um canal para o servidor. O cliente recebe e valida o certificado do servidor.

    4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:

      • Nenhum —Nenhuma autenticação adicional é necessária.

        Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.

      • Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.

        Disponível se você selecionar HTTP ou HTTPS como o protocolo de proxy.

        Requer que você insira a nome de usuário e a senha em cada nó.

      • Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

        Disponível somente se você selecionar HTTPS como o protocolo de proxy.

        Requer que você insira a nome de usuário e a senha em cada nó.

Exemplo de um proxy e nós de segurança de dados híbridos

Este diagrama mostra um exemplo de conexão entre a segurança de dados híbridos, a rede e um proxy. Para as opções de proxy transparente de inspeção e HTTPS explícitos de inspeção, o mesmo certificado raiz deve ser instalado no proxy e nos nós de segurança de dados híbridos.

Modo de resolução DNS externo bloqueado (configurações de proxy explícitas)

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Em implantações com configurações de proxy explícitas que não permitem a resolução DNS externa para clientes internos, se o nó não puder consultar os servidores DNS, ele automaticamente passará para o modo de resolução DNS externo bloqueado. Neste modo, o registro do nó e outros testes de conectividade de proxy podem prosseguir.

  • Nós suportamos oficialmente as seguintes soluções de proxy que podem se integrar com os nós de segurança de dados híbridos.

  • Nós suportamos as seguintes combinações de tipo de autenticação para proxies explícitos:

    • Sem autenticação com HTTP ou HTTPS

    • Autenticação básica com HTTP ou HTTPS

    • Autenticação Digest com apenas HTTPS

  • Para um proxy de inspeção transparente ou um proxy explícito HTTPS, você deve ter uma cópia do certificado raiz do proxy. As instruções de implantação deste guia informam como carregar a cópia para os armazenamentos confiáveis dos nós de segurança de dados híbridos.

  • A rede que está organizando os nós HDS deve ser configurada para forçar o tráfego TCP de saída na porta 443 para rotear através do proxy.

  • Os proxies que inspecionam o tráfego da Web podem interferir nas conexões do soquete da Web. Se esse problema ocorrer, não é possível ignorar o problema, ignorando (não verificando) o tráfego para wbx2.com e ciscospark.com .

Se o ambiente de rede exigir um proxy, use este procedimento para especificar o tipo de proxy que você deseja integrar com a segurança de dados híbridos. Se você escolher um proxy de inspeção transparente ou um proxy explícito HTTPS, você pode usar a interface do nó para carregar e instalar a certificado raiz. Você também pode verificar a conexão de proxy da interface e solucionar quaisquer problemas potenciais.

Antes de começar

1

Insira o URL de configuração do nó HDS https/[Internet node IP ou FQDN]/Setup em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em iniciar sessão.

2

Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:

  • Nenhum proxy —A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado.
  • Proxy de não inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico e não devem exigir nenhuma alteração para funcionar com um proxy que não seja inspecionado. Não é necessária nenhuma atualização de certificado.
  • Proxy de inspeção transparente —Os nós não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração HTTPS é necessária na implantação de segurança de dados híbridos, no entanto, os nós HDS precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas nas quais os sites podem ser visitados e quais tipos de conteúdo não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
  • Proxy explícito —Com proxy explícito, você informa ao cliente (nós HDS) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações:
    1. IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.

    3. Proxy Protocol —Escolha http (visualiza e controla todas as solicitações recebidas do cliente) ou https (fornece um canal para o servidor e o cliente recebe e valida o certificado do servidor). Escolha uma opção baseada no que seu servidor proxy suporta.

    4. Tipo de autenticação —Escolha entre os seguintes tipos de autenticação:

      • Nenhum —Nenhuma autenticação adicional é necessária.

        Disponível para proxies HTTP ou HTTPS.

      • Básico —Usado para um agente de usuário HTTP para fornecer um nome de usuário e senha ao fazer uma solicitação. Usa a codificação Base64.

        Disponível para proxies HTTP ou HTTPS.

        Se você escolher esta opção, você também deve inserir a nome de usuário e a senha.

      • Digest —Usado para confirmar a conta antes de enviar informações confidenciais. Aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

        Disponível apenas para proxies HTTPS.

        Se você escolher esta opção, você também deve inserir a nome de usuário e a senha.

Siga os próximos passos para um proxy de inspeção transparente, um proxy explícito HTTP com autenticação básica ou um proxy explícito HTTPS.

3

Clique em carregar um certificado raiz ou certificado de entidade finale, em seguida, navegue até a escolha do certificado raiz para o proxy.

O certificado foi carregado, mas ainda não foi instalado porque você deve reinicializar o nó para instalar o certificado. Clique na seta de divisa do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.

4

Clique em verificar conexão proxy para testar a conectividade de rede entre o nó e o proxy.

Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema.

Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS. Esta condição é esperada em várias configurações de proxy explícitas. Você pode continuar com a configuração e o nó funcionará no modo de resolução DNS externa bloqueada. Se você acha que isso é um erro, conclua estas etapas e, em seguida, veja Desativar o modo de resolução DNS externo bloqueado .

5

Após o teste de conexão passar, para o proxy explícito definido como https apenas, ative a opção de ativar para rotear todas as solicitações da porta 443/444 https deste nó através do proxy explícito. Esta configuração requer 15 segundos para entrar em vigor.

6

Clique em instalar todos os certificados no armazenamento de confiança (exibido para um proxy explícito HTTPS ou um proxy de inspeção transparente) ou reinicializar (aparece para um proxy explícito http), leia o aviso e clique em instalar se você estiver pronto.

O nó reinicia dentro de alguns minutos.

7

Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde.

A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Quando você registra um nó ou verifica a configuração de proxy do nó, o processo testa a pesquisa e a conectividade do DNS para a nuvem Cisco Webex. Se o servidor DNS do nó não puder resolver os nomes DNS públicos, o nó irá automaticamente para o modo de resolução DNS externa bloqueada.

Se os nós puderem resolver nomes DNS públicos através de servidores DNS internos, você poderá desativar este modo executando novamente o teste da conexão de proxy em cada nó.

Antes de começar

Certifique-se de que os seus servidores DNS internos podem resolver os nomes DNS públicos e que seus nós podem se comunicar com eles.
1

Em um navegador da Web, abra a interface do nó de Segurança de dados híbridos (endereço IP/configuração, por exemplo, https://192.0.2.0/setup), insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .

2

Vá para visão geral (a página padrão).

Quando ativado, a resolução DNS externa bloqueada é definida como Sim.

3

Vá para a página de armazenamento de confiança & proxy .

4

Clique em verificar conexão proxy.

Se você vir uma mensagem informando que a resolução DNS externa não foi bem-sucedida, o nó não foi capaz de atingir o servidor DNS e permanecerá neste modo. Caso contrário, depois que você reiniciar o nó e voltar para a página de visão geral , a resolução DNS externa bloqueada deverá ser definida como não.

O que fazer em seguida

Repita o teste da conexão proxy em cada nó no seu grupo de segurança de dados híbridos.

Esta seção descreve o recurso de suporte de proxy para Webex malha de vídeo. Ela se destina a complementar o Guia de implantação do malha de vídeo Cisco WebEx, disponível em https://www.cisco.com/go/video-mesh. Em uma nova implantação, você configura a configuração do proxy em cada nó depois de implantar o software da malha de vídeo em um ambiente de máquina virtual, e antes de registrar o nó com o Cisco Webex Cloud.

A malha de vídeo suporta proxies explícitos, transparentes de inspeção e não inspeção. Você pode vincular esses proxies à implantação da malha de vídeo para que você possa proteger e monitorar o tráfego da empresa para a nuvem. Este recurso envia sinalização e gerenciamento de tráfego https baseado para o proxy. Para proxies transparentes, as solicitações de rede dos nós de Malha de vídeo são encaminhadas para um proxy específico através de regras de roteamento de rede corporativa. Você pode usar a interface de administração da malha de vídeo para o gerenciamento de certificados e o status geral de conectividade depois de implementar o proxy com os nós.

A mídia não passa pelo proxy. Você ainda deve abrir as portas necessárias para fluxos de mídia para alcançar a nuvem diretamente. Consulte Portas e protocolos para gerenciamento .

Os seguintes tipos de proxy são suportados pela malha de vídeo:

  • Proxy explícito (inspecionando ou não inspecionando) — com proxy explícito, você informa ao cliente (nós de malha de vídeo) que servidor proxy usar. Esta opção suporta um dos seguintes tipos de autenticação:

    • Nenhum — nenhuma autenticação adicional é necessária. (Para proxy explícito HTTP ou HTTPS.)

    • Básico — usado para um agente de usuário HTTP para fornecer um nome e senha ao fazer uma solicitação e usa a codificação Base64. (Para proxy explícito HTTP ou HTTPS.)

    • Digest — usado para confirmar a identidade da conta antes de enviar informações confidenciais e aplica uma função de hash no nome de usuário e senha antes de enviar pela rede. (Para proxy explícito HTTPS.)

    • NTLM — como o Digest, o NTLM é usado para confirmar a identidade da conta antes de enviar informações confidenciais. Usa as credenciais do Windows em vez do nome de usuário e senha. Este esquema de autenticação exige que várias trocas sejam concluídas. (Para proxy explícito HTTP.)

  • Proxy transparente (não inspecionando) — os nós de malha de vídeo não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para trabalhar com um proxy não inspecionado.

  • Proxy transparente (inspeção) — os nós da malha de vídeo não estão configurados para usar um endereço servidor proxy específico. Nenhuma alteração de configuração http (s) é necessária na malha de vídeo, no entanto, os nós de malha de vídeo precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas relativas a quais sites podem ser visitados e tipos de conteúdo que não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).

Exemplo de nós da malha de vídeo e proxy
  • Oferecemos suporte oficial às seguintes soluções de proxy que podem ser integradas com seus nós de Malha de vídeo.

    • Cisco Web Security Appliance (WSA) para proxy transparente

    • Squid para proxy explícito

  • Para um proxy explícito ou proxy de inspeção transparente que inspeciona (descriptografa o tráfego), você deve ter uma cópia do certificado raiz do proxy que será necessário carregar no armazenamento confiável do nó da malha de vídeo na interface da Web.

  • Oferecemos suporte às seguintes combinações de proxy explícito e tipo de autenticação:

    • Nenhuma autenticação com http e https

    • Autenticação básica com http e https

    • Autenticação Digest com apenas https

    • Autenticação NTLM apenas com http

  • Para proxies transparentes, você deve usar o roteador/switch para forçar o tráfego HTTPS/443 para ir para o proxy. Você também pode forçar o Web Socket a ir para o proxy. (O soquete da Web usa HTTPS.)

    A malha de vídeo requer conexões do soquete web com os serviços em nuvem, para que os nós funcionem corretamente. Em inspeções explícitas e proxies de inspeção transparentes, os cabeçalhos http são necessários para uma conexão websocket adequada. Se forem alteradas, a conexão do websocket falhará.

    Quando ocorre a falha de conexão do websocket na porta 443 (com o proxy de inspeção transparente ativado), isso leva a um aviso pós-registro no Control Hub: "A chamada SIP da malha de vídeo Webex não está funcionando corretamente." O mesmo alarme pode ocorrer por outros motivos quando o proxy não está habilitado. Quando os cabeçalhos do WebSocket estão bloqueados na porta 443, a mídia não flui entre aplicativos e clientes SIP.

    Se a mídia não estiver fluindo, isso geralmente ocorre quando o tráfego https do nó sobre a porta 443 está falhando:

    • O tráfego da porta 443 é permitido pelo proxy, mas é um proxy de inspeção e está quebrando o websocket.

    Para corrigir esses problemas, você pode ter que "ignorar" ou "splice" (desativar inspeção) na porta 443 para: *.wbx2.com e *.ciscospark.com.

Use este procedimento para especificar o tipo de proxy que você deseja integrar com uma malha de vídeo. Se você escolher um proxy de inspeção transparente ou um proxy explícito, você pode usar a interface do nó para carregar e instalar o certificado raiz, verificar a conexão de proxy e solucionar quaisquer problemas potenciais.

Antes de começar

1

Insira a URL de configuração da malha de vídeo https://[IP ou FQDN/setup em um navegador da Web, insira as credenciais de administrador que você configurou para o nó e clique em Iniciar sessão .

2

Vá para armazenamento de confiança & proxye, em seguida, escolha uma opção:

  • Nenhum proxy —A opção padrão antes de integrar um proxy. Não é necessária nenhuma atualização de certificado.
  • Proxy de não inspeção transparente —Os nós da malha de vídeo não estão configurados para usar um endereço de servidor proxy específico e não devem exigir alterações para funcionar com um proxy que não seja inspecionado. Não é necessária nenhuma atualização de certificado.
  • Proxy de inspeção transparente —Os nós da malha de vídeo não estão configurados para usar um endereço de servidor proxy específico. Nenhuma alteração de configuração http (s) é necessária na malha de vídeo; no entanto, os nós da malha de vídeo precisam de um certificado raiz para que eles confiem no proxy. A inspeção de proxies normalmente é usada pela ti para aplicar políticas relativas a quais sites podem ser visitados e tipos de conteúdo que não são permitidos. Este tipo de proxy descriptografa todo o seu tráfego (mesmo HTTPS).
  • Proxy explícito —Com proxy explícito, você informa ao cliente (nós de malha de vídeo) qual servidor proxy usar e esta opção suporta vários tipos de autenticação. Depois de escolher essa opção, você deve inserir as seguintes informações:
    1. IP proxy/FQDN —Endereço que pode ser usado para alcançar a máquina proxy.

    2. Porta de proxy —Um número de porta que o proxy usa para ouvir o tráfego de proxies.

    3. Proxy Protocol —Escolha http (a malha de vídeo transforma o tráfego https no proxy http) ou https (o tráfego do nó da malha de vídeo no proxy usa o protocolo https). Escolha uma opção baseada no que seu servidor proxy suporta.

    4. Escolha entre os seguintes tipos de autenticação, dependendo do seu ambiente proxy:

      Opção

      Uso

      Nenhum(a)

      Escolha para proxies explícitos HTTP ou HTTPS onde não há método de autenticação.

      Básico

      Disponível para proxies explícitos HTTP ou HTTPS.

      Usado para um agente de usuário HTTP para fornecer um nome e senha ao fazer uma solicitação e usa a codificação Base64.

      Digerir

      Disponível apenas para proxies explícitos HTTPS.

      Usado para confirmar a conta antes de enviar informações confidenciais e aplica uma função de hash no nome de usuário e senha antes de enviar pela rede.

      Ntlm

      Disponível apenas para proxies HTTP explícitos.

      Como Digest, usado para confirmar a conta antes de enviar informações confidenciais. Usa as credenciais do Windows em vez do nome de usuário e senha.

      Se você escolher esta opção, insira o domínio Active Directory que o proxy usa para autenticação no campo domínio NTLM . Insira o nome da estação de trabalho proxy (também referida como uma conta de estação de trabalho ou de máquina) dentro do domínio NTLM especificado no campo estação de trabalho NTLM .

Siga os próximos passos para uma inspeção transparente ou um proxy explícito.

3

Clique em carregar um certificado raiz ou certificado de entidade final, e então localize e escolha a certificado raiz para o proxy de inspeção explícita ou transparente.

O certificado foi carregado, mas ainda não está instalado porque o nó precisa ser reinicializado para instalar o certificado. Clique na seta do nome do emissor do certificado para obter mais detalhes ou clique em excluir se você tiver cometido um erro e desejar recarregar o arquivo.

4

Para intermarcações transparentes ou proxies explícitos, clique em verificar conexão proxy para testar a conectividade de rede entre o nó de malha de vídeo e o proxy.

Se o teste de conexão falhar, você verá uma mensagem de erro que mostra o motivo e como você pode corrigir o problema.

5

Depois que o teste de conexão passar, para proxy explícito, ative a alternância para Encaminhar todas as solicitações de https da porta 443 deste nó por meio do proxy explícito . Esta configuração requer 15 segundos para entrar em vigor.

6

Clique em instalar todos os certificados no armazenamento de confiança (aparece sempre que um certificado raiz foi adicionado durante a configuração do proxy) ou reinicialize (aparece se nenhum certificado raiz foi adicionado), leia o aviso e clique em instalar se você estiver pronto.

O nó reinicia dentro de alguns minutos.

7

Após a reinicialização do nó, inicie a sessão novamente, se necessário, e abra a página de visão geral para verificar as verificações de conectividade para garantir que estejam todas em estado verde.

A verificação da conexão proxy testa apenas um subdomínio do webex.com. Se houver problemas de conectividade, um problema comum é que alguns dos domínios em nuvem listados nas instruções de instalação estão sendo bloqueados no proxy.

Que tráfego passa pelo proxy

Para a malha de vídeo, a mídia não atravessa o proxy. Este recurso envia a sinalização e o tráfego baseado em https de gerenciamento para o proxy. Você ainda deve abrir as portas necessárias para que os streamings de mídia atinjam diretamente a nuvem.

A porta TCP 444 não está habilitada no proxy

Esta porta é um requisito para a malha de vídeo, porque a malha de vídeo usa essa porta para acessar os serviços baseados em nuvem que ele deve usar para funcionar corretamente. Uma exceção de proxy deve ser feita para esta porta e qualquer como documentada no Guia de implantação da malha de vídeo e os requisitos de rede para serviços de WebEx Teams.

A filtragem do tráfego de sinalização por endereço de IP não é compatível, pois os endereços IP usados pelas nossas soluções são dinâmicos e podem mudar a qualquer momento.

Nenhum certificado raiz instalado

Quando seus nós estão falando com um proxy explícito, você deve instalar o certificado raiz e inserir uma exceção para essa URL no seu firewall.

Falha na verificação de conectividade

Se a verificação de conectividade do proxy tiver passado e a instalação do proxy tiver sido concluída, as verificações de conectividade na página Visão geral ainda poderão falhar pelos seguintes motivos:

  • O proxy está inspecionando o tráfego que não vai para o webex.com.

  • O proxy está bloqueando domínios diferentes de webex.com.

Os detalhes de autenticação estão incorretos

Para proxies que usam um mecanismo de autenticação, certifique-se de adicionar os detalhes corretos de autenticação no nó.

Congestionamento no proxy

O congestionamento no seu proxy pode causar atraso e cair com o tráfego para a nuvem. Verifique seu ambiente proxy para ver se a limitação de tráfego é necessária.

WebSocket não pode se conectar através do proxy Squid

Os proxies de Squid que inspecionam o tráfego HTTPS podem interferir no estabelecimento de conexões websocket ( wss:) que a Segurança de dados híbridos exige. Estas seções fornecem orientação sobre como configurar várias versões do Squid para ignorar o WSS: o tráfego para a operação adequada dos serviços.

Squid 4 e 5

Adicione a on_unsupported_protocol diretiva para squid.conf :

on_unsupported_protocol túnel todos

Squid 3.5.27

Testamos com sucesso a segurança de dados híbridos com as seguintes regras adicionadas ao squid. conf. Estas regras estão sujeitas a alterações à medida que nós desenvolvemos recursos e atualizamos a nuvem Webex.

acl wssMercuryConnection ssl::server_name_regex mercúrio-conexão ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all