В этом разделе описывается функция поддержки прокси для службы безопасности данных гибридного типа. Этот раздел дополняет руководство по развертыванию службы безопасности данных гибридного типа Cisco Webex, доступное по адресу https://www.cisco.com/go/hybrid-data-security. В новом развертывании настройка прокси осуществляется на каждом узле после загрузки и установки конфигурации ISO HDS на этом узле и до регистрации узла в облаке Cisco Webex.

Служба безопасности данных гибридного типа поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси с развертыванием. После настройки прокси на узлах административный интерфейс платформы на узлах можно использовать для управления сертификатами и просмотра общего состояния соединений.

Узлы безопасности данных гибридного типа поддерживают указанные далее параметры прокси.

  • No proxy (Без прокси). Этот параметр применяется по умолчанию, если для интеграции прокси не используется конфигурация прокси и зоны доверия настройки узла HDS. Обновление сертификата не требуется.

  • Transparent non-inspecting proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.

  • Transparent tunneling or inspecting proxy (Прозрачный туннельный прокси или прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. На узлах не нужно изменять конфигурацию HTTP или HTTPS. Как бы то ни было, для обеспечения доверия прокси узлам необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).

  • Explicit proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер и схему аутентификации, которые должны использовать узлы HDS. Для настройки явного прокси на каждом узле нужно ввести следующую информацию.

    1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.

    2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.

    3. Proxy Protocol (Протокол прокси). Выберите протокол, поддерживаемый прокси-сервером. Доступные протоколы указаны ниже.

      • HTTP – просматривает все запросы, отправляемые клиентом, и управляет этими запросами.

      • HTTPS – обеспечивает работу канала связи с сервером. Клиент получает и проверяет сертификат сервера.

    4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.

      • None (Нет). Дальнейшая аутентификация не требуется.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

      • Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен, если в качестве протокола прокси выбран протокол HTTP или HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только в том случае, если в качестве протокола прокси выбран протокол HTTPS.

        Требует ввода имени пользователя и пароля на каждом узле.

Пример узлов безопасности данных гибридного типа и прокси

На этой схеме представлен пример соединения между системой безопасности данных гибридного типа, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой HTTPS на прокси и узлы безопасности данных гибридного типа необходимо установить один и тот же корневой сертификат.

Режим блокировки разрешения внешних DNS (конфигурации явного прокси)

При регистрации узла или проверке конфигурации прокси узла процесс тестирует поиск DNS и подключение к облаку Cisco Webex. В развертываниях с конфигурациями явного прокси, которые не допускают разрешения внешних DNS для внутренних клиентов, если узел не может посылать запросы на DNS-серверы, он автоматически переходит в режим блокировки разрешения внешних DNS. В этом режиме можно продолжить регистрацию узла и другие тестирования подключения к прокси.

  • Мы официально поддерживаем следующие решения для прокси, которые можно интегрировать с узлами безопасности данных гибридного типа:

  • Поддерживаются следующие комбинации типов аутентификации для явных прокси:

    • без аутентификации при использовании HTTP или HTTPS;

    • базовая аутентификация при использовании HTTP или HTTPS;

    • дайджест-аутентификация только при использовании HTTPS;

  • При наличии прозрачного прокси с проверкой или явного прокси HTTPS необходимо иметь копию корневого сертификата прокси. Инструкции по развертыванию, приведенные в этом руководстве, содержат информацию о том, как загрузить эту копию в зоны доверия узлов безопасности данных гибридного типа.

  • Сеть, в которой размещены узлы HDS, должна обеспечивать принудительную маршрутизацию исходящего трафика TCP на порте 443 через прокси.

  • Прокси, проверяющие веб-трафик, могут нарушать работу соединений веб-сокетов. Для устранения этой проблемы трафик следует направить в обход (без проверки) на wbx2.com и *.teams.webex.com.

Если в сетевой среде необходимо использовать прокси, воспользуйтесь этой процедурой, чтобы указать тип прокси, который нужно интегрировать со службой безопасности данных гибридного типа. При выборе прозрачного прокси с проверкой или явного прокси HTTPS можно использовать интерфейс узла для загрузки и установки корневого сертификата. Кроме того, в интерфейсе можно проверять соединение с прокси и устранять неполадки.

Подготовка

1

Введите в веб-браузере URL-адрес для настройки узла HDS https://[IP-адрес или FQDN узла HDS]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется.
  • Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
  • Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.
    1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.

    2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.

    3. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.

      • None (Нет). Дальнейшая аутентификация не требуется.

        Этот параметр доступен для прокси HTTP или HTTPS.

      • Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

        Этот параметр доступен для прокси HTTP или HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

      • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

        Этот параметр доступен только для прокси HTTPS.

        Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

В случае использования прозрачного прокси с проверкой, явного прокси HTTP с базовой аутентификацией или явного прокси HTTPS выполните указанные далее шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку-шеврон, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

Если отображено сообщение о том, что не удалось предоставить разрешение внешнего DNS, значит, узлу не удалось подключиться к DNS-серверу. Такая проблема может возникнуть во многих конфигурациях явного прокси. Можно продолжить настройку, и узел будет работать в режиме блокировки разрешения внешних DNS. Если вы считаете, что это ошибка, выполните указанные далее шаги. Затем см. раздел Отключение режима блокировки разрешения внешних DNS.

5

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

В этом разделе описывается функция поддержки прокси для сетки видео Webex. Этот раздел дополняет руководство по развертыванию сетки видео Cisco Webex, доступное по адресу https://www.cisco.com/go/video-mesh. В новом развертывании настройка прокси осуществляется на каждом узле после развертывания программного обеспечения сетки видео в среде виртуальной машины и до регистрации узла в облаке Cisco Webex.

Сетка видео Cisco Webex поддерживает явные прокси, прозрачные прокси с проверкой и прокси без проверки. Чтобы обеспечить защиту и мониторинг трафика из сети предприятия в облако, можно связать эти прокси-серверы с развертыванием сетки видео Webex. Эта функция отправляет сигнальный и административный трафик HTTPS на прокси. При использовании прозрачных прокси сетевые запросы от узлов сетки видео перенаправляются на определенный прокси с учетом правил маршрутизации корпоративной сети. После настройки прокси на узлах сетки видео Webex ее административный интерфейс можно использовать для управления сертификатами и просмотра общего состояния подключений.


Мультимедиа не проходит через прокси. Для передачи потоков мультимедиа непосредственно в облако необходимо открыть требуемые порты.

Сетка видео поддерживает прокси следующих типов.

  • Явный прокси (с проверкой или без проверки). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы сетки видео). Этот параметр поддерживает один из следующих типов аутентификации.

    • None (Нет). Дальнейшая аутентификация не требуется. (Для явного прокси HTTP или HTTPS.)

    • Базовая. Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64. (Для явного прокси HTTP или HTTPS.)

    • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети. (Для явного прокси HTTPS.)

    • NTLM. Как и дайджест-аутентификация, NTLM-аутентификация используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Использует учетные данные Windows вместо имени пользователя и пароля. Для использования этой схемы аутентификации необходимо осуществление нескольких обменов. (Для явного прокси HTTP.)

  • Прозрачный прокси (без проверки). Узлы сетки видео не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки.

  • Прозрачный прокси (с проверкой). Узлы сетки видео не настроены для использования адреса определенного прокси-сервера. В сетке видео не нужно вносить изменения в конфигурацию http(s). Как бы то ни было, для обеспечения доверия прокси узлам сетки видео необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже https).

Рис. 1. Пример прокси и узлов сетки видео Webex.

На этой схеме представлен пример соединения между сеткой видео Webex, сетью и прокси. При использовании прозрачного прокси с проверкой или явного прокси с проверкой на прокси и узлы сетки видео необходимо установить один и тот же корневой сертификат.

  • Официально поддерживаются указанные далее решения для прокси, которые можно интегрировать с узлами сетки видео Webex.

    • Cisco Web Security Appliance (WSA) для прозрачного прокси;

    • Squid для явного прокси.

  • При наличии явного прокси или прозрачного прокси с проверкой, который осуществляет проверку (расшифровывает трафик), необходимо загрузить копию корневого сертификата прокси в зону доверия узла сетки видео Webex в веб-интерфейсе.

  • Поддерживаются следующие комбинации типов аутентификации и явных прокси:

    • без аутентификации при использовании http и https;

    • базовая аутентификация при использовании http и https;

    • дайджест-аутентификация только при использовании https;

    • NTLM-аутентификация только при использовании http.

  • При наличии прозрачного прокси необходимо использовать маршрутизатор или коммутатор для обеспечения принудительной отправки трафика HTTPS/443 на прокси. Помимо этого, на прокси можно принудительно отправлять трафик WebSocket/444. (WebSocket использует https.) Функции порта 444 зависят от настройки сети. Если порт 444 не маршрутизируется через прокси, он должен быть открыт непосредственно из узла в облако.


    Сетка видео Webex требует соединения веб-сокетов с облачными службами для обеспечения правильной работы узлов. На явных прокси с проверкой и прозрачных прокси с проверкой изменяются заголовки http, необходимые для установки надлежащих соединений с веб-сокетами, в результате чего происходит сбой соединений с веб-сокетами.

    Если эта проблема возникает в связи с портом 443 (в условиях работы прозрачного прокси с проверкой), в Control Hub отображается следующее послерегистрационное предупреждение: "Вызов SIP сетки видео Webex работает ненадлежащим образом". Когда прокси не включен, то же сообщение может отображаться и по другим причинам. Если на порте 443 заблокированы заголовки веб-сокетов, поток мультимедиа между приложениями и клиентами SIP отсутствует.

    Если поток мультимедиа не передается, это часто происходит при сбое трафика HTTPS узла через порт 444 или порт 443.

    • Прокси не осуществляет проверку, но при этом запрещает передачу трафика порта 444.

    • Прокси-трафик с портом 443 или порт 444 разрешается прокси, но он является прокси для проверки и разрушит WebSocket.

    Для устранения этих проблем может потребоваться "обход" или "сращивание" (отключение проверки) на портах 444 и 443 для *.wbx2.com и *.teams.webex.com.

Выполните эту процедуру для указания типа прокси, который нужно интегрировать с сеткой видео Webex. Если вы выберете прозрачный прокси с проверкой или явный прокси, вы сможете использовать интерфейс узла для загрузки и установки корневого сертификата, проверки соединения с прокси и устранения неполадок.

Подготовка

1

Введите в веб-браузере URL-адрес для настройки сетки видео Webex https://[IP-адрес или FQDN]/setup, укажите учетные данные администратора, заданные вами для узла, и щелкните Sign In (Вход).

2

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

  • No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется.
  • Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы сетки видео не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
  • Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы сетки видео не настроены для использования адреса определенного прокси-сервера. В сетке видео не нужно вносить изменения в конфигурацию http(s). Как бы то ни было, для обеспечения доверия прокси узлам сетки видео необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже https).
  • Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы сетки видео). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.
    1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.

    2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.

    3. Proxy Protocol (Протокол прокси). Выберите http (сетка видео туннелирует трафик https через прокси http) или https (для передачи трафика между узлом сетки видео и прокси используется протокол https). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

    4. Выберите один из следующих типов аутентификации в зависимости от среды прокси.

      Параметр

      Использование

      Ни один из вариантов

      Если метод аутентификации отсутствует, выберите явные прокси HTTP или HTTPS.

      Базовые

      Этот параметр доступен для явных прокси HTTP или HTTPS.

      Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

      Дайджест

      Этот параметр доступен только для явных прокси HTTPS.

      Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

      NTLM

      Этот параметр доступен только для явных прокси HTTP.

      Как и дайджест-аутентификация, NTLM-аутентификация используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Использует учетные данные Windows вместо имени пользователя и пароля.

      Если вы выбрали этот параметр, введите в поле NTLM Domain (Домен NTLM) домен Active Directory, который прокси использует для аутентификации. Введите в поле NTLM Workstation (Рабочая станция NTLM) имя рабочей станции прокси (имя учетной записи рабочей станции или учетной записи компьютера) в пределах указанного домена NTLM.

Если вы используете прозрачный прокси с проверкой или явный прокси, выполните следующие шаги.

3

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта). Найдите и выберите корневой сертификат для явного прокси или прозрачного прокси с проверкой.

Сертификат будет загружен, но не установлен, поскольку для установки сертификата необходимо перезагрузить узел. Чтобы получить дополнительные сведения, щелкните стрелку, расположенную рядом с именем издателя сертификата. Если вы допустили ошибку и хотите вновь загрузить файл, щелкните Delete (Удалить).

4

Чтобы протестировать сетевое соединение между узлом сетки видео и прозрачным прокси с проверкой или явным прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если тестирование соединения завершится неудачей, на экране появится сообщение об ошибке, в котором будут указаны причина и способ исправления ошибки.

5

Если вы используете явный прокси, после успешного завершения тестирования соединения включите параметр Route all port 443/444 https requests from this node through the explicit proxy (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

6

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается в том случае, если во время настройки прокси был добавлен корневой сертификат – или Reboot (Перезагрузить) – этот параметр отображается в том случае, если корневой сертификат не был добавлен. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

Узел перезагрузится в течение нескольких минут.

7

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Проверка соединения с прокси используется исключительно для тестирования поддомена webex.com. Проблемы с соединениями нередко возникают из-за того, что некоторые облачные домены, указанные в инструкциях по установке, блокируются на уровне прокси.

Трафик, проходящий через прокси

Мультимедиа сетки видео не проходит через прокси. Эта функция отправляет на прокси сигнальный и административный трафик https. Для передачи потоков мультимедиа непосредственно в облако необходимо открыть требуемые порты.

Порт 444 TCP не включен на прокси

Этот порт необходимо использовать совместно с сеткой видео, поскольку сетка видео применяет этот порт для доступа к облачным службам, благодаря которым она функционирует правильным образом. Следует создать исключение прокси для этого и всех прочих портов, указанных в руководстве по развертыванию сетки видео и документе Требования к сети для служб Webex Teams.


Фильтрация сигнального трафика с помощью IP-адресов не поддерживается, поскольку в наших решениях используются динамические IP-адреса, которые могут измениться в любой момент.

Не установлен корневой сертификат

Если имеющиеся узлы связываются с явным прокси, необходимо установить корневой сертификат и ввести в брандмауэре исключение для этого URL-адреса.

Сбой проверки соединения

Если проверка соединения с прокси успешно пройдена и установка прокси завершена, проверки соединения на странице обзора могут завершаться неудачей по указанным далее причинам.

  • Прокси проверяет трафик, который не передается на webex.com.

  • Прокси блокирует домены, отличные от webex.com.

Использование неверных сведений об аутентификации

Если вы используете прокси, применяющий механизм аутентификации, добавьте на узел верные сведения об аутентификации.

Перегрузка прокси

Перегрузка прокси может привести к задержкам и сбоям в передаче трафика в облако. Проверьте среду прокси и выясните, нужно ли регулировать передачу трафика.

Прокси Squid, выполняющие проверку HTTPS-трафика, могут влиять на установление соединений веб-сокетов (wss:), которые требуются для работы службы безопасности данных гибридного типа. В указанных далее разделах приведены рекомендации по настройке различных версий Squid с целью игнорирования трафика wss: для обеспечения надлежащей работы служб.

Squid 4 и 5

Добавьте директиву on_unsupported_protocol в squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Служба безопасности данных гибридного типа успешно протестирована с указанными далее правилами, добавленными в squid.conf. Эти правила могут изменяться по мере разработки функций и обновления облака Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all