Asistență proxy pentru securitatea datelor hibride și rețeaua video
Această secțiune descrie caracteristica de suport proxy pentru securitatea datelor hibride. Acesta este destinat să completeze Ghidul de implementare pentru Cisco Webex Hybrid Data Security, disponibil la https://www.cisco.com/go/hybrid-data-security. Într-o nouă implementare, configurați configurarea proxy pe fiecare nod după încărcarea și montarea ISO de configurare HDS pe nod și înainte de a înregistra nodul cu cloud Cisco Webex.
Hybrid Data Security acceptă inspectarea explicită, transparentă și proxy-uri care nu inspectează. Puteți lega aceste proxy-uri de implementare, astfel încât să puteți securiza și monitoriza traficul de la întreprindere în cloud. Puteți utiliza o interfață de administrator de platformă pe nodurile pentru gestionarea certificatelor și pentru a verifica starea generală a conectivității după ce ați configurat proxy-ul pe noduri.
Nodurile hibride de securitate a datelor acceptă următoarele opțiuni proxy:
-
Fără proxy—Setare implicită dacă nu utilizați configurația nodului HDS Trust Store și Proxy pentru a integra un proxy. Nu este necesară actualizarea certificatului.
-
Proxy transparent fără inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a funcționa cu un proxy fără inspectare. Nu este necesară actualizarea certificatului.
-
Proxy transparent pentru tunelare sau inspectare—Nodurile nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare HTTP sau HTTPS pe noduri. Cu toate acestea, nodurile au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici pe care site-urile web pot fi vizitate și ce tipuri de conținut nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și HTTPS).
-
Proxy explicit- Cu proxy explicit, spuneți nodurilor HDS ce server proxy și ce schemă de autentificare să utilizați. Pentru a configura un proxy explicit, trebuie să introduceți următoarele informații pe fiecare nod:
-
IP/FQDN proxy—Adresa care poate fi utilizată pentru a accesa computerul proxy.
-
Port proxy—Un număr de port utilizat de proxy pentru a asculta traficul protejat.
-
Protocol proxy- În funcție de ceea ce acceptă serverul proxy, alegeți dintre următoarele protocoale:
-
HTTP - Vizualizează și controlează toate solicitările pe care le trimite clientul.
-
HTTPS - Oferă un canal serverului. Clientul primește și validează certificatul serverului.
-
-
Tip autentificare—Alegeți dintre următoarele tipuri de autentificare:
-
Fără—Nu este necesară mai multă autentificare.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
-
De bază—Utilizat pentru un agent de utilizator HTTP care furnizează un nume de utilizator și o parolă atunci când efectuează o solicitare. Utilizează codificarea Base64.
Disponibil dacă selectați HTTP sau HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
Rezumat- Utilizat pentru a confirma contul înainte de a trimite informații sensibile. Aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea.
Disponibil numai dacă selectați HTTPS ca protocol proxy.
Vă solicită să introduceți numele de utilizator și parola pe fiecare nod.
-
-
Exemplu de noduri hibride de securitate a datelor și proxy
Această diagramă afișează un exemplu de conexiune între securitatea datelor hibride, rețea și un proxy. Pentru opțiunile proxy de inspectare transparente și https explicit inspectare, același certificat rădăcină trebuie să fie instalat pe proxy și pe nodurile hibride de securitate a datelor.
Modul de rezolvare DNS extern blocat (configurații proxy explicite)
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. În implementările cu configurații proxy explicite care nu permit rezoluția DNS externă pentru clienții interni, dacă nodul nu poate interoga serverele DNS, acesta intră automat în modul Rezoluție DNS externă blocată. În acest mod, înregistrarea nodului și alte teste de conectivitate proxy pot continua.
-
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile hibride de securitate a datelor.
-
Proxy transparent - Cisco Web Security Appliance (WSA).
-
Proxy explicit - Calmar.
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:). Pentru a rezolva această problemă, consultați Configurați proxy-urile Squid pentru securitatea datelor hibride.
-
-
Acceptăm următoarele combinații de tip de autentificare pentru proxy-uri explicite:
-
Fără autentificare cu HTTP sau HTTPS
-
Autentificare de bază cu HTTP sau HTTPS
-
Autentificare digest numai cu HTTPS
-
-
Pentru un proxy de inspectare transparent sau un proxy explicit HTTPS, trebuie să aveți o copie a certificatului rădăcină al proxy-ului. Instrucțiunile de implementare din acest ghid vă spun cum să încărcați copia în depozitele de încredere ale nodurilor hibride de securitate a datelor.
-
Rețeaua care găzduiește nodurile HDS trebuie să fie configurată pentru a forța traficul TCP de ieșire pe portul 443 pentru a ruta prin proxy.
-
Proxy-urile care inspectează traficul web pot interfera cu conexiunile de soclu web. Dacă apare această problemă, ocolirea (nu inspectarea) traficului către
wbx2.com și ciscospark.com va rezolva
problema.
Dacă mediul de rețea necesită un proxy, utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu Securitatea datelor hibride. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit HTTPS, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină. De asemenea, puteți verifica conexiunea proxy din interfață și puteți depana orice probleme potențiale.
Înainte de a începe
-
Consultați Suport proxy pentru o prezentare generală a opțiunilor proxy acceptate.
1 |
Introduceți URL-ul de configurare a nodului HDS |
2 |
Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru un proxy de inspectare transparent, un proxy explicit HTTP cu autentificare de bază sau un proxy explicit HTTPS. |
3 |
Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate de sfârșit , apoi navigați la o alegeți certificatul rădăcină pentruproxy. Certificatul este încărcat, dar nu este încă instalat, deoarece trebuie să reporniți nodul pentru a instala certificatul. Faceți clic pe săgeata ghilimelei unghiulare de numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. |
4 |
Faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nod și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a reușit, nodul nu a reușit să ajungă la serverul DNS. Această condiție este de așteptat în multe configurații proxy explicite. Puteți continua configurarea, iar nodul va funcționa în modul Rezoluție DNS externă blocată. Dacă considerați că aceasta este o eroare, parcurgeți acești pași și apoi consultați Dezactivare mod rezoluție DNS externă blocată. |
5 |
După ce trece testul de conexiune, pentru proxy explicit setat la https numai, activați comutatorul pentru a ruta toate port 443/444 https solicitările de la acest nod prin proxy explicit. Această setare necesită 15 secunde pentru a intra în vigoare. |
6 |
Faceți clic pe Instalare toate certificatele în Depozitul de încredere (apare pentru un proxy explicit HTTPS sau un proxy de inspectare transparent) sau pe Repornire (apare pentru un proxy explicit HTTP), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. |
7 |
După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Când înregistrați un nod sau verificați configurația proxy a nodului, procesul testează căutarea DNS și conectivitatea la cloud-ul Cisco Webex. Dacă serverul DNS al nodului nu poate rezolva numele DNS publice, nodul intră automat în modul Rezoluție DNS externă blocată.
Dacă nodurile sunt capabile să rezolve numele DNS publice prin serverele DNS interne, puteți dezactiva acest mod prin reluarea testului de conexiune proxy pe fiecare nod.
Înainte de a începe
1 |
Într-un browser web, deschideți interfața nodului Hibrid Data Security (adresa IP/configurare, de exemplu, https://192.0.2.0/setup), introduceți acreditările de administrator pe care le-ați configurat pentru nod, apoi faceți clic pe Conectare. |
2 |
Accesați Prezentare generală (pagina implicită). Când este activată, Rezoluția DNS externă blocată este setată la Da. |
3 |
Accesați pagina Trust Store & Proxy. |
4 |
Faceți clic pe Verificare conexiune proxy. Dacă vedeți un mesaj care spune că rezoluția DNS externă nu a avut succes, nodul nu a reușit să ajungă la serverul DNS și va rămâne în acest mod. În caz contrar, după ce reporniți nodul și reveniți la pagina Prezentare generală, Rezoluția DNS externă blocată ar trebui să fie setată la nu. |
Ce trebuie să faceți în continuare
Această secțiune descrie caracteristica de suport proxy pentru Webex Video Mesh. Acesta este destinat să completeze Ghidul de implementare pentru Cisco Webex Video Mesh ,disponibil la https://www.cisco.com/go/video-mesh. Într-o nouă implementare, configurați configurarea proxy pe fiecare nod după implementarea software-ului Video Mesh pe un mediu de mașină virtuală și înainte de a înregistra nodul cu cloud-ul Cisco Webex.
Rețeaua video acceptă proxy-uri explicite, transparente și neinspectate. Puteți lega aceste proxy-uri de implementarea rețelei video, astfel încât să puteți securiza și monitoriza traficul de la întreprindere la cloud. Această caracteristică trimite semnalizarea și gestionarea traficului bazat pe https către proxy. Pentru proxy-uri transparente, solicitările de rețea de la nodurile Video Mesh sunt redirecționate către un proxy specific prin regulile de rutare a rețelei de întreprindere. Puteți utiliza interfața de administrator a rețelei video pentru gestionarea certificatelor și starea generală a conectivității după ce implementați proxy-ul cu nodurile.
Media nu călătorește prin proxy. Trebuie să deschideți în continuare porturile necesare pentru ca fluxurile media să ajungă direct în cloud. Consultați Porturi și protocoale pentru gestionare.
Următoarele tipuri de proxy sunt acceptate de Video Mesh:
-
Proxy explicit (inspectare sau non-inspectare)-Cu proxy explicit, îi spuneți clientului (nodurile Video Mesh) ce server proxy să utilizeze. Această opțiune acceptă unul dintre următoarele tipuri de autentificare:
-
Niciuna — Nu este necesară autentificarea suplimentară. (Pentru proxy explicit HTTP sau HTTPS.)
-
De bază - Utilizat pentru un agent de utilizator HTTP pentru a furniza un nume de utilizator și o parolă atunci când faceți o solicitare și utilizează codificarea Base64. (Pentru proxy explicit HTTP sau HTTPS.)
-
Digest - Folosit pentru a confirma identitatea contului înainte de a trimite informații sensibile și aplică o funcție hash pe numele de utilizator și parola înainte de a trimite prin rețea. (Pentru proxy explicit HTTPS.)
-
NTLM — La fel ca Digest, NTLM este utilizat pentru a confirma identitatea contului înainte de a trimite informații sensibile. Utilizează acreditările Windows în locul numelui de utilizator și al parolei. Această schemă de autentificare necesită mai multe schimburi pentru a finaliza. (Pentru proxy explicit HTTP.)
-
-
Proxy transparent (fără inspectare) - Nodurile Fileu video nu sunt configurate să utilizeze o anumită adresă de server proxy și nu ar trebui să necesite modificări pentru a lucra cu un proxy care nu inspectează.
-
Proxy transparent (inspectare)- Nodurile Fileu video nu sunt configurate să utilizeze o anumită adresă de server proxy. Nu sunt necesare modificări de configurare http(s) pe Video Mesh, cu toate acestea, nodurile Video Mesh au nevoie de un certificat rădăcină, astfel încât să aibă încredere în proxy. Proxy-urile de inspectare sunt de obicei utilizate de IT pentru a aplica politici cu privire la site-urile web care pot fi vizitate și tipurile de conținut care nu sunt permise. Acest tip de proxy decriptează tot traficul (chiar și https).
-
Acceptăm oficial următoarele soluții proxy care se pot integra cu nodurile rețelei video.
-
Cisco Web Security Appliance (WSA) pentru proxy transparent
-
Calmar pentru proxy explicit
-
-
Pentru un proxy explicit sau un proxy de inspectare transparent care inspectează (decriptează traficul), trebuie să aveți o copie a certificatului rădăcină al proxy-ului, pe care va trebui să îl încărcați în magazinul de încredere al nodului rețelei video de pe interfața web.
-
Acceptăm următoarele combinații explicite de tip proxy și autentificare:
-
Fără autentificare cu http și https
-
Autentificare de bază cu http și https
-
Digest autentificarea doar cu https
-
Autentificare NTLM doar cu http
-
-
Pentru proxy-uri transparente, trebuie să utilizați routerul / comutatorul pentru a forța traficul HTTPS/443 pentru a merge la proxy. De asemenea, puteți forța Web Socket să meargă la proxy. (Web Socket utilizează https.)
Rețeaua video necesită conexiuni de tip socket la serviciile cloud, astfel încât nodurile să funcționeze corect. La inspectarea explicită și la inspectarea transparentă a proxy-urilor, anteturile http sunt necesare pentru o conexiune websocket corespunzătoare. Dacă sunt modificate, conexiunea websocket nu va reuși.
Atunci când eroarea de conectare la websocket apare pe portul 443 (cu proxy de inspecție transparent activat), aceasta duce la un avertisment post-înregistrare în Control Hub: „Apelarea SIP Webex Video Mesh nu funcționează corect”. Aceeași alarmă poate apărea din alte motive atunci când proxy-ul nu este activat. Când anteturile websocket sunt blocate pe portul 443, media nu curge între aplicații și clienții SIP.
Dacă conținutul media nu este în flux, acest lucru se întâmplă adesea atunci când traficul https de la nod prin portul 443 eșuează:
-
Traficul portului 443 este permis de proxy, dar este un proxy de inspectare și întrerupe websocket-ul.
Pentru a corecta aceste probleme, este posibil să fie necesar să „ocoliți” sau „splice” (dezactivați inspecția) la portul 443 la: *.wbx2.com și *.ciscospark.com.
-
Utilizați această procedură pentru a specifica tipul de proxy pe care doriți să îl integrați cu o rețea video mesh. Dacă alegeți un proxy de inspectare transparent sau un proxy explicit, puteți utiliza interfața nodului pentru a încărca și instala certificatul rădăcină, a verifica conexiunea proxy și a depana orice probleme potențiale.
Înainte de a începe
-
Consultați Asistență proxy pentru rețeaua Video Mesh pentru o prezentare generală a opțiunilor proxy acceptate.
1 |
Introduceți URL-ul de configurare a rețelei video | ||||||||||
2 |
Accesați Trust Store & Proxy, apoi alegeți o opțiune:
Urmați pașii următori pentru o inspectare transparentă sau un proxy explicit. | ||||||||||
3 |
Faceți clic pe Încărcare certificat rădăcină sau certificat de entitate finală , apoigăsiți și alegeți certificatul rădăcină pentru proxy-ul de inspectare explicit sau transparent. Certificatul este încărcat, dar nu este încă instalat, deoarece nodul trebuie să fie repornit pentru a instala certificatul. Faceți clic pe săgeata de la numele emitentului certificatului pentru a obține mai multe detalii sau faceți clic pe Ștergere dacă ați făcut o greșeală și doriți să reîncărcați fișierul. | ||||||||||
4 |
Pentru inspectare transparentă sau proxy-uri explicite, faceți clic pe Verificare conexiune proxy pentru a testa conectivitatea la rețea între nodul Fileu video și proxy. Dacă testul de conexiune nu reușește, veți vedea un mesaj de eroare care arată motivul și modul în care puteți corecta problema. | ||||||||||
5 |
După ce trece testul de conexiune, pentru proxy-ul explicit, activați comutatorul pe Rutați toate solicitările https de la acest nod prin proxy-ul explicit. Această setare necesită 15 secunde pentru a intra în vigoare. | ||||||||||
6 |
Faceți clic pe Instalare toate certificatele în Depozitul de autorizare (apare ori de câte ori a fost adăugat un certificat rădăcină în timpul configurării proxy) sau pe Repornire (apare dacă nu a fost adăugat niciun certificat rădăcină), citiți solicitarea, apoi faceți clic pe Instalare dacă sunteți gata. Nodul repornește în câteva minute. | ||||||||||
7 |
După repornirea nodului, conectați-vă din nou, dacă este necesar, apoi deschideți pagina Prezentare generală pentru a verifica verificările de conectivitate pentru a vă asigura că toate sunt în stare verde. Verificarea conexiunii proxy testează numai un subdomeniu de webex.com. Dacă există probleme de conectivitate, o problemă comună este că unele dintre domeniile cloud listate în instrucțiunile de instalare sunt blocate la proxy. |
Ce trafic trece prin Proxy
Pentru Video Mesh, mass-media nu traversează proxy-ul. Această caracteristică trimite semnalizarea și gestionarea traficului bazat pe https către proxy. Trebuie să deschideți în continuare porturile necesare pentru fluxurile media pentru a ajunge direct în cloud.
Portul TCP 444 nu este activat pe Proxy
Acest port este o cerință pentru Video Mesh, deoarece Video Mesh utilizează acest port pentru a accesa serviciile bazate pe cloud pe care trebuie să le utilizeze pentru a funcționa corect. Trebuie făcută o excepție proxy pentru acest port și ORICE, așa cum este documentat în ghidul de implementare Video Mesh și cerințele de rețea pentru Webex Teams Services.
Filtrarea traficului de semnalizare în funcție de adresa IP nu este acceptată, deoarece adresele IP utilizate de soluțiile noastre sunt dinamice și se pot schimba în orice moment.
Nu este instalat niciun certificat rădăcină
Când nodurile vorbesc cu un proxy explicit, trebuie să instalați certificatul rădăcină și să introduceți o excepție pentru acel URL în paravanul de protecție.
Verificarea conectivității nu reușește
Dacă verificarea conectivității proxy a trecut și instalarea proxy a fost finalizată, verificările de conectivitate din pagina prezentare generală pot totuși să nu reușească din aceste motive:
-
Proxy-ul inspectează traficul care nu merge la webex.com.
-
Proxy-ul blochează alte domenii decât webex.com.
Detaliile de autentificare sunt incorecte
Pentru proxy-uri care utilizează un mecanism de autentificare, asigurați-vă că adăugați detaliile corecte de autentificare în nod.
Congestie pe Proxy
Congestia de pe proxy poate provoca întârzieri și scăderi cu trafic în cloud. Verificați mediul proxy pentru a vedea dacă este necesară limitarea traficului.
Websocket nu se poate conecta prin Squid Proxy
Proxy-urile Squid care inspectează traficul HTTPS pot interfera cu stabilirea conexiunilor websocket (wss:
) pe care Securitatea datelor hibride le necesită. Aceste secțiuni oferă îndrumări despre cum să configurați diferite versiuni de Squid pentru a ignora wss:
traficul pentru funcționarea corespunzătoare a serviciilor.
Calmar 4 și 5
Adăugați on_unsupported_protocol
directiva la squid.conf
:
on_unsupported_protocol tunel toate
Calmar 3.5.27
Am testat cu succes Securitatea datelor hibride cu următoarele reguli adăugate la squid.conf
. Aceste reguli pot fi modificate pe măsură ce dezvoltăm caracteristici și actualizăm cloud-ul Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 toate ssl_bump stare step2 toate ssl_bump bump3 toate